La importancia de reportar un falso positivo

Hemos hablado reiteradas veces en este mismo espacio sobre la heurística antivirus y los falsos positivos. Estos, son archivos benignos que son detectados por una solución antivirus. En la vorágine de malware existente en la actualidad (nuestros laboratorios reciben más de 200 mil reportes de malware diariamente); es posible que una detección sea errónea, y que el antivirus deba eliminar dicha detección. Ahora, ¿qué debe hacer un usuario si detecta un falso positivo? En lineas generales, reportar el incidente. Hay otras alternativas, pero hay una que nunca es válida: deshabilitar el antivirus. Veamos…

Hace unos días nos reportaban un sitio web gubernamental argentino, que en la página web de descarga de una aplicación, tenía un instructivo especial para los usuarios de nuestros productos:

Falso Positivo

Si el usuario accedía al instructivo en formato PDF, podía observar un consejo un tanto particular: desactivar la protección antivirus.

Falso Positivo

¿Es esto lo correcto? Desde luego que no. El tiempo que demoró el administrador en crear el instructivo y subirlo a Internet, es el que hubiera tardado en reportar el falso positivo a ESET y que el mismo sea eliminado, y es por ello que nos pareció una excelente oportunidad para recordarle a los usuarios, que este es el procedimiento correcto. Desactivar la protección antivirus puede exponer la seguridad del sistema del usuario, nunca debe ser una opción. En términos de usabilidad y seguridad, esta muchas veces suele estar relegada, y no debe ser este el caso ante un falso positivo.

¿Ocurren los falsos positivos? Sí, ocurren, y le pueden ocurrir a cualquiera. ¿Ocurren con frecuencia? No deberían, los usuarios de ESET NOD32 saben que certificaciones como Av-Comparatives o VirusBulletin han certificado nuestros excelentes niveles en cuanto a baja tasa de falsos positivos. De todas formas, ante la ocurrencia de estos, ya sabemos que nunca el consejo es deshabilitar el antivirus, sino que siempre es recomendable reportar el falso positivo al laboratorio y, como medida temporal, excluir el archivo de la detección en tiempo real.

Una de las preguntas que suelo enfrentar en los seminarios y congresos, es por qué hacer educación si está la tecnología para protegernos. La realidad, como siempre contesto, es que la educación es para complementar a las tecnologías, no para reemplazarla e, incluso, “un usuario educado siempre usará mejor las tecnologías“. Este es un ejemplo de ello: conocer las posibilidades de contacto con los laboratorios antivirus, minimizará la posibilidad de tomar malas decisiones, que pueden exponer la seguridad de la información de los usuarios.

Sebastián Bortnik
Coordinador de Awareness & Research

Autor , ESET

  • Uriel

    tengo su producto eset smart security 5 RC y no me deja descargar sony vegas Pro. 10 me detecta como win32

    • Hola Uriel,

      El instalador utilizado, ¿es el descargado de la página oficial de ESET?

      ¿Podrías darnos más detalles acerca de la detección? Es decir, ¿seguro que no decía nada más después del Win32?

      Además, te invitamos que nos envíes la muestra. Para hacerlo, dejo el enlace que explica el procedimiento.

      ¡Gracias por comunicarte con nosotros!

      Estamos a las órdenes.

      Saludos,
      Raphael

Síguenos