A veces los antivirus se equivocan: borran archivos de Windows y entonces el PC ya no arranca. ¿Por qué ocurre algo así? ¿Se puede evitar? La respuesta es sí.
Casi todos los antivirus han tenido un episodio de “locura” a lo largo de su historia. El último ha sido Panda Antivirus, que tras una actualización de rutina, el 11 de marzo empezó a mover archivos propios a la cuarentena, lo que equivale a eliminarse a sí mismo. El consejo de Panda: esperar una actualización urgente.
Una captura del fallo: Panda poniéndose en cuarentena a sí mismo (fuente)
Panda no ha sido el único. Todavía siguen vivos en la memoria episodios como el de Avira, que en mayo de 2012 marcó archivos de Windows como infectados, o el de AVG, que ocurrió en 2008. Y estos son solo algunos de los casos más sonados; los foros de los antivirus rebosan de casos similares.
Por qué ocurren las falsas detecciones
Un antivirus moderno usa varias estrategias para detectar malware, desde reconocer su huella (que es única para cada archivo) hasta analizar el comportamiento de un programa en la memoria. La posibilidad de que un antivirus se equivoque y marque como peligroso a un archivo inocuo se denomina falso positivo.
Como explica el experto Thomas Parsons (Symantec), la mayoría de falsos positivos ocurren cuando archivos limpios son analizados erróneamente por los sistemas automáticos de las compañías de antivirus. No todos los falsos positivos son igual de graves, pero su filtrado se ha vuelto una costosa prioridad.
Centros como este de Symantec gestionan las grandes emergencias de seguridad (fuente)
A pesar de la mejora en los controles de calidad, el problema de los falsos positivos va en aumento debido a que muchos de los nuevos virus se hacen pasar por aplicaciones legítimas. Es el caso, por ejemplo, de Cryptolocker, que parece totalmente inofensivo hasta que el usuario lo ejecuta.
Cómo evitar que el antivirus borre archivos limpios
Tu antivirus es una delicada máquina de detección de intrusos. Su configuración estándar sirve para la mayoría de ocasiones, pero hay cosas que puedes hacer para reducir la agresividad y suspicacia del antivirus, y para evitar errores catastróficos.
1. Baja la sensibilidad del antivirus
En las opciones de tu antivirus, baja la sensibilidad de escaneo si es elevada. También puedes pedir que algunos archivos o directorios se excluyan.
La mayoría de antivirus permiten bajar la sensibilidad de su protección
Algunos antivirus permiten activar y desactivar la heurística, que es una técnica que a menudo genera falsas detecciones. Muchas veces no te hará falta.
2. Configura el vaciado de la cuarentena de archivos
Si tu antivirus tiene cuarentena de archivos, configúrala para que no se vacíe automáticamente. Es mejor tener un margen de tiempo antes de que eso ocurra.
Haz que el vaciado de la cuarentena ocurra en un plazo razonable de tiempo, como 30 días
3. Haz que tu antivirus te pregunte qué hacer
Conviene obligar tu antivirus a preguntar la acción a tomar en caso de detección de archivos sospechosos. No lo dejes elegir por ti, podría ser peligroso.
Revisa la configuración de tu antivirus para que pregunte siempre antes de actuar
4. Espera antes de reiniciar o confirmar
En la duda, si crees que el antivirus acaba de poner en cuarentena un archivo limpio, no confirmes la limpieza ni tampoco reinicies el PC: el borrado podría ser irreversible.
Un buen antivirus debe preguntarte qué hacer: consulta los detalles antes de borrar un archivo
En caso de duda, sobre todo si el archivo detectado tiene un nombre genérico como Trojan.Generic o Win32:PUP-gen, es mejor consultar los detalles del suceso y consultar con un experto o con el servicio de atención al cliente.
5. Infórmate sobre el virus / archivo supuestamente infectado
Una vez tengas el sospechoso en pantalla, debes recabar información sobre el mismo. Haz lo siguiente:
- Busca el nombre del archivo en Google acompañado por “virus”, a ver si hay noticias
- Sube el archivo a VirusTotal o Jotti, para obtener una segunda opinión
- Abre el Twitter de tu compañía de antivirus para ver si hay alguna incidencia abierta
Aquí tienes algunas de las cuentas Twitter en español de los principales antivirus:
- Avast: https://twitter.com/avast_es
- AVG: https://twitter.com/AntivirusAVG
- Avira: https://twitter.com/avira_es
- Bitdefender: https://twitter.com/BitDefenderES
- ESET: https://twitter.com/ESETLA
- Kaspersky: https://twitter.com/KasperskyES
- Panda: https://twitter.com/PandaComunica
- Symantec (Norton): https://twitter.com/symantec_es
Al obtener pistas estarás comprobando si los archivos aparentemente infectados lo son de verdad o se trata de una falsa alarma.
¿Cuándo fue la última vez que un antivirus te borró archivos importantes?
Para saber más:
- Cómo configurar Avast 2015
- Los mejores ajustes para AVG 2015
- Cuando los antivirus se equivocan
- La seguridad debería ser algo sencillo
Sígueme en Twitter: @remoquete
Imagen de cabecera: Warner