Los investigadores de seguridad trabajan juntos y comparten información de muchas maneras y en muchos contextos que van más allá de los límites empresariales, pero es raro ver que los analistas de virus de compañías diferentes unan sus fuerzas en el blog de una empresa.
John Leyden de The Register nos contactó a ambos cuando estaba escribiendo un artículo sobre la controversia que causó la dramática demostración de Kaspersky Lab sobre cómo los falsos positivos pueden difundirse de una empresa a otra. Este es un problema importante, porque demuestra que hay una seria falla en los métodos de prueba y análisis de detección comparativos. Después de responder a las preguntas de John, seguimos discutiendo el tema por correo electrónico y descubrimos que ambos (al igual que la mayoría en la industria antivirus) estábamos de acuerdo en los puntos principales, y decidimos que era necesario aclararlos en lugar de continuar el debate sobre los detalles de la demostración de la falla.
El hecho de que se haya empleado Virus Total como medio para realizar la demostración y transmitir falsas alarmas “artificiales” a otras empresas no debe percibirse como un acto perjudicial para Virus Total. Hispasec nunca dijo que este servicio servía como substituto para las pruebas comparativas o validaciones de muestras, que pueden causar resultados poco fiables.
Los escáneres múltiples no son el problema, sin importar si están ubicados en sitios públicos, entre las herramientas de especialistas o en las sedes de las empresas antivirus o las empresas que las evalúan. De hecho, son herramientas muy valiosas para los análisis comparativos o como precursores de análisis más detallados. Sin embargo, este valor depende del conocimiento del usuario sobre cómo sacarles mejor provecho.
Las principales empresas que evalúan la seguridad de los productos antivirus y las compañías de seguridad conocen estos problemas. Sin embargo, muchas pruebas no los toman en cuenta lo suficiente. El experimento de Kaspersky Lab al menos atrajo la atención del público hacia el problema, incluyendo la prensa y los editores que más necesitan tenerlo en mente. Es posible que el experimento no hubiera sido tan notorio de no haber tenido una presentación tan controversial.
Como miembros de AMTSO (Anti-Malware Testing Standards Organization), estamos muy de acuerdo en que es necesario alejarse de las pruebas estáticas y comenzar a hacerlas más dinámicas. Esperamos que ahora los críticos se den cuenta de que las pruebas dinámicas con una cantidad menor pero mejor validada de muestras tienen una capacidad de detección más realista y menos riesgo de caer en prejuicios no intencionados. Si más gente se diera cuenta de esto, las empresas ocuparían más tiempo en combatir amenazas reales y menos en asegurarse de que detectan muestras que no deberían incluirse en las pruebas.
Magnus Kalkuhl, Analista de Virus Senior, Kaspersky Lab
David Harley, Director de Inteligencia de Malware de ESET
Transmitiendo falsos positivos