¿Qué es un falso positivo en ciberseguridad?

Falso positivo en ciberseguridad

¿Qué es un falso positivo en ciberseguridad?

Un Falso Positivo es una falsa alarma generada por un antivirus u otro software de seguridad. En palabras simples, cuando un antivirus o software de seguridad considera que un archivo o programa genuino es malicioso, se denomina indicador de falso positivo.

¿Cómo ocurre un falso positivo?

El software antivirus funciona con diferentes métodos. Estos métodos incluyen detección de malware basada en firmas, detección de malware basada en comportamiento, etc. En la técnica de detección de malware basada en firmas, el software antivirus utiliza las firmas para identificar si un archivo o programa es genuino o malicioso. Estas firmas también se denominan definiciones. El antivirus recibe las últimas definiciones de virus descargando la actualización publicada por el proveedor.

¿Qué es un falso negativo en ciberseguridad?

Una bandera de Falso Negativo es lo inverso de un Falso Positivo. El Falso Negativo ocurre cuando un software antivirus o un software de seguridad no logra detectar un archivo o programa malicioso. Algunos programas maliciosos utilizan técnicas avanzadas para ocultarse de modo que el software antivirus no pueda detectarlos ni ponerlos en cuarentena. Estas amenazas maliciosas no detectadas permanecen activas en los sistemas del usuario y representan una amenaza para la seguridad.

¿Cómo ocurre un Falso Negativo?

¿Cómo saber si es un Virus o un Falso Positivo?

  • Usando VirusTotal
  • Buscando el archivo en línea
  • Ver las firmas de archivos

Usando VirusTotal

El primer método mediante el cual puede identificar la autenticidad de un archivo o programa es escanearlo en VirusTotal u otro servicio en la nube similar. VirusTotal es un servicio en la nube que cuenta con varios motores antivirus. Cuando escanea un archivo en el sitio web de VirusTotal, estos motores antivirus escanean ese archivo y luego VirusTotal genera el informe.

Si su software antivirus ha marcado un programa o archivo genuino como malicioso, puede escanearlo en VirusTotal y ver el informe. Este informe le permitirá saber si otros antivirus marcan ese archivo como malicioso o no.

Buscando el archivo en línea

rundll32.exe

Ver las firmas de archivos

Otro método eficaz que puedes utilizar para saber si un archivo o programa es malicioso o un Falso Positivo es viendo sus firmas. Un archivo genuino está firmado digitalmente por su proveedor. Puede ver esta información en las propiedades del archivo.

Firma digital AI exe

  1. Haga clic derecho en el archivo.
  2. Seleccionar Propiedades.
  3. Selecciona el Firmas digitales pestaña.

La pestaña Firmas digitales está disponible para archivos y servicios ejecutables. Ahora puede ver el nombre del firmante en la pestaña Firmas digitales. La imagen de arriba muestra que el archivo AI Host Ai.exe está firmado digitalmente por Microsoft. Por tanto, es un archivo auténtico.

Si su antivirus ha marcado un programa como malicioso y desea ver sus Firmas digitales, no encontrará la pestaña Firmas digitales al abrir sus propiedades desde el acceso directo del Escritorio. En este caso, debes abrir las propiedades de su archivo ejecutable desde la ubicación de instalación. Para hacerlo, haga clic derecho en el acceso directo del escritorio y seleccione Abrir localización de archivo.

Leer: Pruebe si el antivirus funciona o no.

¿Cómo remediar una acción de Falso Positivo de Windows Defender?

Seguridad de Windows Agregar exclusión de carpeta

Si Microsoft Defender genera un indicador de falso positivo para un archivo o programa, puede informar a Microsoft Defender sobre la autenticidad de ese archivo o programa agregándolo a la lista de Exclusiones de Microsoft Defender. Después de eso, Microsoft Defender dejará de alertarle sobre ese programa o dejará de bloquearlo.

Excepciones del Administrador de Bitdefender

Leer: ¿Cómo saber si tu computadora tiene un virus?

¿Dónde se informa un falso positivo/negativo a Microsoft?

Informar los falsos positivos y los falsos negativos a Microsoft ayudará a Microsoft a corregir las detecciones. Esto reducirá la generación de indicadores de falso positivo y reducirá las posibilidades de que el malware pase desapercibido.

Portal de envío de muestra Microsoft

Para informar un falso positivo o un falso negativo (o malware) a Microsoft, debe visitar el Portal de envío de muestras y enviar el archivo allí. Ahora, seleccione la opción más adecuada de las siguientes:

  • Cliente particular
  • Cliente empresarial
  • Desarrollador de software

Después de eso, haga clic Continuar e inicie sesión con las credenciales de su cuenta correctas. Ahora, complete los detalles requeridos, adjunte el archivo y haga clic Continuar.

Espero que esto ayude.

¿Qué causa un resultado falso negativo?

Por lo general, un resultado Falso Negativo se debe a definiciones de virus obsoletas del software antivirus. Los proveedores de antivirus publican definiciones de virus mediante actualizaciones periódicas. Debe descargar e instalar estas actualizaciones periódicamente.

¿Qué es el verdadero positivo y el falso positivo en ciberseguridad?

En Ciberseguridad, True Positive se refiere a la correcta detección de una amenaza por parte de un programa antivirus o un Software de Seguridad. Por otro lado, un Falso Negativo es la detección incorrecta de una amenaza, es decir, un antivirus o software de seguridad ha detectado el archivo original como malicioso.

Leer siguiente: EDR vs Antivirus: ¿Cuál es mejor y por qué?

Subir