En materia de antivirus la temática de los falsos positivos y negativos es tal vez la menos comentada, no por ello deja de tener una importancia capital dentro de cualquier análisis a realizar para determinar el uso de uno u otro programa antivirus.
En informática existe una máxima: “el mejor antivirus es el que se logra actualizar con mayor frecuencia”, aunque es importante, no descartar otras características que determinan la efectividad de estas aplicaciones en la lucha contra los códigos maliciosos.
Para introducirse en el tema el primer paso es conocer que son los falsos positivos y negativos.
Los falsos positivos son archivos benignos que son detectados por una solución antivirus como código malicioso, probablemente porque su motor está mal configurado y/o ensamblado.
Por su parte los falsos negativos ocurren cuando el programa antivirus no detecta un código maligno, cuando lo deja entrar al sistema o le permite su ejecución en el entorno del sistema que supuestamente está protegido.
Estas situaciones ocurren como consecuencia de que la búsqueda de códigos malignos se realiza por comparación del código del programa o aplicación que se corre en la PC con los fragmentos de código maliciosos que se almacenan en las bases de datos de los programas antivirus.
Las dos situaciones descritas son muy peligrosas, la primera porque puede provocar un incidente, que puede provocar la paralización de un sistema informático si el archivo confundido con un malware es clave en la estabilidad y funcionamiento del sistema informático. La segunda es más clara, permite la infección por código maligno de un sistema con las consecuencias nocivas que esto trae consigo.
Un usuario responsable, educado en seguridad informática y que conoce qué archivos tiene en el equipo, puede darse cuenta si hay una detección de un falso positivo o negativo. De ahí la importancia de la revisión ocular de los medios que se conectan a la PC y el celo sobre la seriedad de los sitios que se visitan al navegar en las redes.
¿Qué hacer en el caso de que se detecte un falso positivo?.
La respuesta es única: reportarlo y por ningún motivo deshabilitar el antivirus, ya que esto pondría en riesgo la seguridad íntegra de la información y del sistema informático en general.
En el caso de que sea un falso negativo, la acción parte de la norma: detener la actividad del sistema informático afectado sin apagarlo y reportar a la seguridad informática o al directivo del área.