¿Qué es un falso positivo? (Lección 17)

Una reciente noticia sobre MSN y Youtube me dio el pie ideal para explicar el concepto de falsos positivos en los sistemas de seguridad.

La novedad era que durante el fin de semana pasado, el mensajero instantáneo de Microsoft (MSN o Live Messenger, dependiendo la versión), estaba bloqueando el acceso a direcciones de Youtube que fueran compartidas por sus usuarios por considerarlas potencialmente dañinas.

Esto se debió a un error en el sistema de seguridad usado por el mensajero que erróneamente clasificaba a las direcciones que contenían el dominio youtube.com como si fueran un enlace que pudiera, potencialmente, causar daño a la computadora del usuario.

Lo anterior es un ejemplo claro de lo que se denomina falso positivo.

Un falso positivo es cuando cualquier sistema de seguridad interpreta que algo (un programa, un código, una dirección web, etc) es malicioso cuando no lo es. Otro ejemplo es cuando un antivirus detecta a una aplicación inocua como si fuera un malware y bloquea el acceso a la misma.

Los falsos positivos pueden ser causados por cuestiones humanas o automáticas. Las primeras, cuando un miembro del laboratorio de la aplicación de seguridad clasifica algo en forma errónea, mientras la segunda es cuando las reglas en las que se basa el sistema de seguridad no están desarrolladas correctamente y detectan mas de lo que deberían como dañino.

¨is¨