Noticias

Transmitiendo falsos positivos

Los investigadores de seguridad trabajan juntos y comparten información de muchas maneras y en muchos contextos que van más allá de los límites empresariales, pero es raro ver que los analistas de virus de compañías diferentes unan sus fuerzas en el blog de una empresa.

John Leyden de The Register nos contactó a ambos cuando estaba escribiendo un artículo sobre la controversia que causó la dramática demostración de Kaspersky Lab sobre cómo los falsos positivos pueden difundirse de una empresa a otra. Este es un problema importante, porque demuestra que hay una seria falla en los métodos de prueba y análisis de detección comparativos. Después de responder a las preguntas de John, seguimos discutiendo el tema por correo electrónico y descubrimos que ambos (al igual que la mayoría en la industria antivirus) estábamos de acuerdo en los puntos principales, y decidimos que era necesario aclararlos en lugar de continuar el debate sobre los detalles de la demostración de la falla.

El hecho de que se haya empleado Virus Total como medio para realizar la demostración y transmitir falsas alarmas “artificiales” a otras empresas no debe percibirse como un acto perjudicial para Virus Total. Hispasec nunca dijo que este servicio servía como substituto para las pruebas comparativas o validaciones de muestras, que pueden causar resultados poco fiables.

Los escáneres múltiples no son el problema, sin importar si están ubicados en sitios públicos, entre las herramientas de especialistas o en las sedes de las empresas antivirus o las empresas que las evalúan. De hecho, son herramientas muy valiosas para los análisis comparativos o como precursores de análisis más detallados. Sin embargo, este valor depende del conocimiento del usuario sobre cómo sacarles mejor provecho.

Las principales empresas que evalúan la seguridad de los productos antivirus y las compañías de seguridad conocen estos problemas. Sin embargo, muchas pruebas no los toman en cuenta lo suficiente. El experimento de Kaspersky Lab al menos atrajo la atención del público hacia el problema, incluyendo la prensa y los editores que más necesitan tenerlo en mente. Es posible que el experimento no hubiera sido tan notorio de no haber tenido una presentación tan controversial.

Como miembros de AMTSO (Anti-Malware Testing Standards Organization), estamos muy de acuerdo en que es necesario alejarse de las pruebas estáticas y comenzar a hacerlas más dinámicas. Esperamos que ahora los críticos se den cuenta de que las pruebas dinámicas con una cantidad menor pero mejor validada de muestras tienen una capacidad de detección más realista y menos riesgo de caer en prejuicios no intencionados. Si más gente se diera cuenta de esto, las empresas ocuparían más tiempo en combatir amenazas reales y menos en asegurarse de que detectan muestras que no deberían incluirse en las pruebas.

Magnus Kalkuhl, Analista de Virus Senior, Kaspersky Lab
David Harley, Director de Inteligencia de Malware de ESET

Transmitiendo falsos positivos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada