¿Qué es un falso positivo en ciberseguridad?
Ciberseguridad es una rama de la tecnología que protege los sistemas informáticos, dispositivos móviles, servidores, etc., de ataques maliciosos. Varios actores maliciosos realizan estos ataques maliciosos. El propósito de los actores maliciosos es acceder o destruir la información confidencial de los usuarios. El software de seguridad protege a los usuarios de las ciberamenazas. El software antivirus es el software de seguridad más utilizado. El término falso positivo se utiliza con mayor frecuencia en el campo de la seguridad cibernética. En este artículo hablaremos de qué es un Falso Positivo en Ciberseguridad.
¿Qué es un falso positivo en ciberseguridad?
Falso Negativo y Falso Positivo son los términos más utilizados en el campo de la Seguridad Cibernética. Es posible que algunos de ustedes hayan escuchado estos términos. Esta publicación analiza qué son los falsos positivos y los falsos negativos detectados por los programas antivirus y antivirus. software de seguridad y cómo puede incluir dichas detecciones en la lista blanca.
Un Falso Positivo es una falsa alarma generada por un antivirus u otro software de seguridad. En palabras simples, cuando un antivirus o software de seguridad considera que un archivo o programa genuino es malicioso, se denomina indicador de falso positivo.
Si ha instalado un software antivirus en su sistema, es posible que haya experimentado un problema en el que su software antivirus bloqueó un archivo o programa original. En este caso, el programa bloqueado no funciona correctamente o se niega a iniciarse. Las banderas de falso positivo siempre son incorrectas.
¿Cómo ocurre un falso positivo?
El software antivirus funciona con diferentes métodos. Estos métodos incluyen detección de malware basada en firmas, detección de malware basada en comportamiento, etc. En la técnica de detección de malware basada en firmas, el software antivirus utiliza las firmas para identificar si un archivo o programa es genuino o malicioso. Estas firmas también se denominan definiciones. El antivirus recibe las últimas definiciones de virus descargando la actualización publicada por el proveedor.
En la técnica de detección de malware basada en el comportamiento, el antivirus monitorea el comportamiento de un programa. Si encuentra que el comportamiento del programa es malicioso, lo bloquea. La técnica de detección de malware basada en el comportamiento puede generar indicadores de falso positivo. Por ejemplo, si un antivirus detecta el comportamiento de un programa sospechoso, lo bloquea.
¿Qué es un falso negativo en ciberseguridad?
Una bandera de Falso Negativo es lo inverso de un Falso Positivo. El Falso Negativo ocurre cuando un software antivirus o un software de seguridad no logra detectar un archivo o programa malicioso. Algunos programas maliciosos utilizan técnicas avanzadas para ocultarse de modo que el software antivirus no pueda detectarlos ni ponerlos en cuarentena. Estas amenazas maliciosas no detectadas permanecen activas en los sistemas del usuario y representan una amenaza para la seguridad.
¿Cómo ocurre un Falso Negativo?
El Falso Negativo suele ocurrir cuando no has actualizado tu programa antivirus. Los programas antivirus necesitan actualizaciones periódicas para detectar amenazas recién lanzadas. Si ejecuta un antivirus con definiciones de virus obsoletas, su sistema será propenso a sufrir nuevas amenazas o ataques de malware. Esto se debe a que su antivirus desconoce las nuevas firmas de virus. Los falsos negativos son un grave riesgo de seguridad para su sistema.
¿Cómo saber si es un Virus o un Falso Positivo?
Si su software antivirus ha bloqueado un archivo o programa y necesita ese archivo o programa, puede identificar la autenticidad de ese archivo o programa mediante algunos métodos. Hemos descrito estos métodos a continuación.
- Usando VirusTotal
- Buscando el archivo en línea
- Ver las firmas de archivos
Usando VirusTotal
El primer método mediante el cual puede identificar la autenticidad de un archivo o programa es escanearlo en VirusTotal o otro servicio en la nube similar. VirusTotal es un servicio en la nube que cuenta con varios motores antivirus. Cuando analiza un archivo en el sitio web de VirusTotal, estos motores antivirus analizan ese archivo y luego VirusTotal genera el informe.
Si su software antivirus ha marcado un programa o archivo genuino como malicioso, puede escanearlo en VirusTotal y ver el informe. Este informe le permitirá saber si otros antivirus marcan ese archivo como malicioso o no.
Buscando el archivo en línea
El siguiente método que puede utilizar para identificar si un archivo o programa es malicioso o no es mediante la búsqueda en línea. Puede buscar en línea utilizando diferentes palabras clave.
Por ejemplo, si su programa antivirus ha marcado y puesto en cuarentena un archivo DLL, por ejemplo rundll32.exe, puede buscar su autenticidad en línea utilizando diferentes palabras clave, como:
- ¿Qué es el proceso rundll32.exe?
- ¿Es seguro rundll32.exe?
- ¿Rundll32.exe es malicioso?
Mientras busca en línea, verá enlaces a varios sitios web y foros. Para obtener información auténtica, considere visitar sitios web confiables como TheWindowsClub. Esto también le ayudará a conocer la autenticidad del archivo o del programa.
Ver las firmas de archivos
Otro método eficaz que puedes utilizar para saber si un archivo o programa es malicioso o un Falso Positivo es viendo sus firmas. Un archivo genuino está firmado digitalmente por su proveedor. Puede ver esta información en las propiedades del archivo.
Los siguientes pasos le ayudarán con eso:
- Haga clic derecho en el archivo.
- Seleccione Propiedades.
- Seleccione la pestaña Firmas digitales.
La pestaña Firmas digitales está disponible para archivos y servicios ejecutables. Ahora puede ver el nombre del firmante en la pestaña Firmas digitales. La imagen de arriba muestra que el archivo AI Host Ai.exe está firmado digitalmente por Microsoft. Por lo tanto, es un archivo genuino.
Si su antivirus ha marcado un programa como malicioso y desea ver sus Firmas digitales, no encontrará la pestaña Firmas digitales al abrir sus propiedades desde el acceso directo del Escritorio. En este caso, debes abrir las propiedades de su archivo ejecutable desde la ubicación de instalación. Para hacerlo, haga clic derecho en el acceso directo del escritorio y seleccione Abrir ubicación del archivo.
¿Cómo remediar una acción de Falso Positivo de Windows Defender?
Si Microsoft Defender genera un indicador de falso positivo para un archivo o programa, puede informar a Microsoft Defender sobre la autenticidad de ese archivo o programa agregándolo a Exclusiones de Microsoft Defender. lista. Después de eso, Microsoft Defender dejará de alertarte sobre ese programa o dejará de bloquearlo.
La opción de agregar un archivo o un programa a la lista de excepción o exclusión está disponible en todos los programas antivirus. Por lo tanto, si utiliza un antivirus de terceros, puede agregar ese archivo a su lista de excepciones. Debido a la diferencia en la interfaz de usuario, el proceso para excluir un archivo o programa es diferente en diferentes programas antivirus de terceros.
¿Dónde se informa un falso positivo/negativo a Microsoft?
Informar los falsos positivos y los falsos negativos a Microsoft ayudará a Microsoft a corregir las detecciones. Esto reducirá la generación de indicadores de falso positivo y reducirá las posibilidades de que el malware pase desapercibido.
Para informar un falso positivo o un falso negativo (o malware) a Microsoft, debe visitar el Portal de envío de muestras y enviar el archivo. allá. Ahora, seleccione la opción más adecuada de las siguientes:
- Cliente particular
- Cliente empresarial
- Desarrollador de software
Después de eso, haga clic en Continuar e inicie sesión con las credenciales de su cuenta correctas. Ahora, complete los detalles requeridos, adjunte el archivo y haga clic en Continuar.
Espero que esto ayude.
¿Qué causa un resultado falso negativo?
Por lo general, un resultado Falso Negativo se debe a definiciones de virus obsoletas del software antivirus. Los proveedores de antivirus publican definiciones de virus mediante actualizaciones periódicas. Debe descargar e instalar estas actualizaciones periódicamente.
¿Qué es el verdadero positivo y el falso positivo en ciberseguridad?
En Ciberseguridad, True Positive se refiere a la correcta detección de una amenaza por parte de un programa antivirus o un Software de Seguridad. Por otro lado, un Falso Negativo es la detección incorrecta de una amenaza, es decir, un antivirus o software de seguridad ha detectado el archivo original como malicioso.
Deja una respuesta