FALSOS POSITIVOS DE TU ANTIVIRUS, QUE SON Y CUALES SON SUS PELIGROS

Falsos positivos de tu antivirus: qué son y cuáles son sus peligros

Escrito por Roberto AdevaAbril 14, 2017 a las 18:00
seguridad  1
falsos positivos
Prácticamente todo el mundo cuenta en su ordenador con algún antivirus, una herramienta de seguridad cuyo propósito es mantener nuestro ordenador lo más protegido posible de amenazas y todo tipo de malware. Lo cierto es que aunque se tratan de herramientas desarrolladas para cumplir el firme objetivo de mantener nuestros datos a salvo, algo que hacen la gran mayoría de ellos de forma eficiente, en otras ocasiones puede que nos puedan causar algún problema.

Y es que la gran desconfianza en muchas aplicaciones y procesos por parte de los algoritmos utilizados por los antivirus para detectar todo tipo de malware lo antes posible, hace que en numerosas ocasiones se den lo que conocemos como falsos positivos. Los actuales antivirus son capaces de detectar cualquier comportamiento sospechoso de un programa, como la descarga de ejecutables en segundo plano, el lanzamiento de procesos sin permisos o su intervención en otros programas.

Antivirus portables

Qué puede ocurrir cuando el antivirus detecta falsos positivos

Capacidades sin duda muy útiles para detectar lo antes posible cualquier tipo de virus o amenaza en nuestro ordenador, pero que también pueden provocar que programas legítimos sean etiquetados como posibles amenazas. Estos falsos positivos pueden provocar acciones indeseadas en el equipo, como por ejemplo, que el antivirus nos elimine una aplicación instalada en el equipo que es totalmente legítima.

Recientemente ocurría que la conocida herramienta Malwarebytes Anti-Malware detectaba como malware una de las herramientas del popular desarrollador IObit, algo que evidentemente es falso, y procedía con su eliminación en el equipo. Un claro ejemplo de falso positivo, que por desgracia no es el único, ya que son muchos los casos en los que ya hemos visto cómo determinadas herramientas de seguridad han detectado ciertos procesos legítimos como malware, tratándose de falsos positivos, y el antivirus ha procedido con su eliminación. El propio Avast se vió envuelto en uno de estos casos, ya que debido a un error, la herramienta de seguridad eliminaba archivos legítimos.

Por lo tanto, los riesgos más habituales de los falsos positivos que nos pueda dar nuestros antivirus, es la eliminación de ciertas aplicaciones e incluso el borrado de determinados archivos muy importantes para el sistema, lo que nos puede provocar importantes fallos en el equipo.

Reconocer los falsos positivos requiere mucho tiempo y práctica, por lo que están a la orden del día. Sin embargo, siempre que sospechemos que nuestro antivirus están detectando algún falso positivo, debemos pedir una segunda opinión pasando otro antivirus distinto, saber qué hace exactamente el proceso detectado como malware para saber si es legítimo.

Para tratar de evitar estas falsas alarmas sin tener que prescindir de nuestro antivirus, siempre podremos tratar de reducir la la sensibilidad del escáner heurístico, si nos lo permite el antivirus, activar la opción que obliga al antivirus a preguntarnos antes de proceder a eliminar algo en el equipo, añadir los falsos positivos a la lista blanca del antivirus o incluso tratar de comprobar si la aplicación que es detectada como falso positivo cuenta con alguna versión posterior a la nuestra y en ese caso instalarla

Yo no uso antivirus. Mientras no entres en sitios "raros" no hace falta el antivirus, no?

Edito: estoy respondiendo al título del hilo puesto que no he leído el mensaje de baraka

Buen artículo y bien explicado. Aunque actualmente los riesgos de un falso positivo se acerca a cero con los actuales antivirus de calidad.

Estos falsos positivos se pueden producir con una deficiente o desactualizada base de definiciónes del antivirus y de unos algorítmos heurísticas pobres, desaconsejable por esta razón de fiarse del Windows Defender, que con distancia tiene los resultados de detección más pobres de los AV existentes (inferior a 70%).

No hace falta entrar en sitios raros para pillar algún malware u otro bicho raro, @Tombraider, también páginas serias tienen hasta docenas de otras direcciones de los más diversas empresas intrconectados y todos ellos de dejan trackong cookies y otras basuras en tu disco, en su mayoría inocuos, pero no siempre.
Este foro mismo tiene 2 rastreadores publicitarios que he bloqueado, al ser fuentes de spam que se encuentra luego en el correo.

Zerg Rush escribió:Buen artículo y bien explicado. Aunque actualmente los riesgos de un falso positivo se acerca a cero con los actuales antivirus de calidad.

Estos falsos positivos se pueden producir con una deficiente o desactualizada base de definiciónes del antivirus y de unos algorítmos heurísticas pobres, desaconsejable por esta razón de fiarse del Windows Defender, que con distancia tiene los resultados de detección más pobres de los AV existentes (inferior a 70%).

No hace falta entrar en sitios raros para pillar algún malware u otro bicho raro, @Tombraider, también páginas serias tienen hasta docenas de otras direcciones de los más diversas empresas intrconectados y todos ellos de dejan trackong cookies y otras basuras en tu disco, en su mayoría inocuos, pero no siempre.
Este foro mismo tiene 2 rastreadores publicitarios que he bloqueado, al ser fuentes de spam que se encuentra luego en el correo.

Por esas  y otras muchas razones que cita Zerg. te aconsejo amiga Tob, que te instales un antivirus, y además te cambies las contraseñas mas a menudo.

Sobre lo de Windows Defender, hay opiniones, encuestas y criterios de los usurarios y de programadores  para todos los gustos . Esta considerado como uno de los mas efectivos, (por Windows, claro) pero tambien pasa con otros antivirus, que en cada comparacion que miras varia el porcentaje de eficacia, según sea la pagina que la expone en Internet.  ¿Y con cual te quedas?, eso es peliagudo tanto como que te venden por ejemplo, que un limpiador es muy eficaz, y que te limpia a fondo el PC , pero si se hace la misma prueba con otro en el mismo ordenador (lo he experimentado ) con otro de otra marca, este ultimo te vuelve a sacar mas basura, y eso pasa lo mismo  con los antivirus, que mientras despues del análisis te asegura que esta todo limpio de virus, pero si despues le pasas otro antivirus de otra marca, este te vuelve sacar mas bichejos. Así, que todo eso es relativo, y creo que depende de los intereses comerciales de las casa anunciantes.

Saludos

Existe actualmente más de 3.000.000 de virus activos por la red y aparecen nuevos virus cada pocos minutos. Un antivirus como el Windows Defender, que actualiza su base únicamente en los actualizaciones de Windows de Pascua a Ramos, por definición no puede estar a la altura, al funcionar casi únicamente de forma heurística, lo que de entrada ya puede provocar falsos positivos. Bueno, menos da una piedra, pero por lo meno yo no me fiaría.
Windows no es mal SO, pero los programas que lleva por defecto, o son demos de 30 días, como el Office, o bien lo más cutre y básico que existe y el WD en mi opinión no es una excepción.

Zerg Rush escribió:Existe actualmente más de 3.000.000 de virus activos por la red y aparecen nuevos virus cada pocos minutos. Un antivirus como el Windows Defender, que actualiza su base únicamente en los actualizaciones de Windows de Pascua a Ramos, por definición no puede estar a la altura, al funcionar casi únicamente de forma heurística, lo que de entrada ya puede provocar falsos positivos. Bueno, menos da una piedra, pero por lo meno yo no me fiaría.
Windows no es mal SO, pero los programas que lleva por defecto, o son demos de 30 días, como el Office, o bien lo más cutre y básico que existe y el WD en mi opinión no es una excepción.

TEST ANTIVIRUS

(Test de detecciones Virales)

Alguna vez se ha preguntado ¿Que Antivirus es el Mejor?. Ante tanta variedad de antivirus y ante la interrogante "¿Cuál de ellos recomendar a nuestros usuarios?", nosotros como usuarios a nivel técnico nos pusimos probar a los antivirus con varias muestras de malwares.
Para esto aprovechamos nuestra experiencia en tratamiento de virus y seguridad informática y comenzamos a infectar nuestros equipos de pruebas (vaya que trabajo?!: fue lo más fácil!) capturando muestras, encapsulándolas y analizándolas. En pleno proceso nos dimos con la sorpresa que algunos de los que pensábamos eran los mejores "no respondían" y otros que no pensábamos que responderían "se lucieron".

Como saber si las muestras capturadas eran Virus?: En base a nuestra experiencia, análisis de los archivos en Hexadecimal y en los síntomas comunes de infección como lentitud, pantallas de error, cambio en el inicio del navegador, etc., podemos determinar que archivos son candidatos a analizar con los diferentes antivirus. Cabe detallar que este análisis se hace con fin informativo y no tenemos vínculo con ninguna empresa antivirus ni similar.
Queremos mencionar (solo como anécdota) que hemos tenido muestras sospechosas que en su análisis se ha determinado que son virus y que, sorprendente mente, no han sido detectados por ningún antivirus.
Que utilizamos para detectar?: Utilizamos varios antivirus locales y multi-escaneadores en línea como VirScan, VirusScan (jotti), Virsutotal.
El reporte: Decidimos que a partir de ahora en adelante pondremos los reportes en una tabla que la llamaremos "Test Antivirus", en ella se mostrará el puntaje de cada antivirus en base a sus detecciones, y adjuntaremos las imágenes correspondientes en la parte inferior. Este informe se actualizará constantemente según las muestras de virus que podamos "capturar" por: Redes P2P (Ares, Emule, etc.), Webs malignas, Correo, Redes Sociales, etc.
 
TEST: 20 ANTIVIRUS  No puedo traer aquí la gráfica del test,porque no sale bien, pero en ella el Avast sale como en primer lugar de eficacia antivirus, y el Defender como en cuarto lugar. SIn embargo en otras, el Panda le gana al Avast y el Defender queda aún mas abajo de la lista.

Y en una ultima comparación que estoy mirando dela misma fuente el NOD32 que con un 45% d e detección, y el RIsing ( no lo conozco,) en ultimo lugar

Fuente:http://www.seguridadpc.net/test-antivirus.htm

Tiene también una explicación, ya que de cuando es este test, y esta comparativa es de 2015.
Los tests varían bastante según la versión del AV que se compruebe.
Que Avira y AVG están entre los más eficientes no es ningurna novedad, porqué sin duda lo son.
He probado ya casi todos los AV (gratuitos) y también estos dos. Pero he vuelto al Panda por una simple razón, al contrario de los demás no me ralentiza el sistema, Avira, Avast y AVG sin embargo, aunque buenos, son bastante pesados, lo que se nota mucho en un equipo viejo como lo tengo. Avarte en su versión gratuita me dan la lata con popups para comprar la versión pro.
El Panda, que he tenido antes y que he vuelto a instalar, a pesar de ser por lo menos igual de eficiente que los mencionados con una detección cerca del 100% y prácticamente cero falsos positivos, es el más liviano que existe y no lo noto en absoluto en el rendimiento de mi pobre equipo, si encima en sus últimas versiones es capaz de bloquear incluso a rootkits (con el virus de la policía ya pude en el pasado), pues queda bien claro con cual me quedo y hasta ahora no me ha defraudado.

He aquí un test independiente de 2017 en tiempo real del laboratorio especializado AV Comparative

En verde la cuota de detección y los puntos amarillos los falsos positivos



http://chart.av-comparatives.org/chart1.php