Skip to main content
Blog
Blog

El costo de los falsos positivos - cómo nos convertimos en un objetivo

Esta semana, identificamos un caso de uso intrigante que involucra el ataque WP3[.]XYZ (enlace a nuestra publicación del blog). Despertó interés en toda la comunidad y llevó a mejores tasas de detección en plataformas como VirusTotal (enlace de VirusTotal). Si bien la mayoría apreció nuestros esfuerzos, otros nos criticaron por no identificar la causa raíz o recomendar servicios para limpiar sitios web hackeados. A pesar de esto, nuestro objetivo es hacer que la comunidad esté consciente de los ataques potenciales y prometemos hacerlo aún mejor en el futuro. Cuando los falsos

Jan 17, 2025 5 min read
how-we-became-a-target-image-cover
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Esta semana, identificamos un caso de uso intrigante que involucra el ataque WP3[.]XYZ (enlace a nuestra publicación del blog). Despertó interés en toda la comunidad y llevó a mejores tasas de detección en plataformas como VirusTotal (enlace de VirusTotal).

Página de VirusTotal mostrando la cobertura de detección para el dominio wp3.xyz

Si bien la mayoría apreció nuestros esfuerzos, otros nos criticaron por no identificar la causa raíz o recomendar servicios para limpiar sitios web hackeados. A pesar de esto, nuestro objetivo es hacer que la comunidad esté consciente de los ataques potenciales y prometemos hacerlo aún mejor en el futuro.

Cuando los falsos positivos nos afectan directamente

Después de publicar el blog, sucedió algo inesperado: nuestro sitio web principal, cside.com, fue marcado como sospechoso. Este incidente es significativo porque resalta cómo un simple falso positivo puede interrumpir no solo los flujos de trabajo técnicos, sino también la reputación y las operaciones de un negocio.

Advertencia del navegador marcando cside.dev como sospechoso por un falso positivo

Para los lectores técnicos, esto subraya la importancia de las reglas de detección precisas, mientras que para los lectores no técnicos, demuestra cómo estos problemas pueden escalar e impactar la confianza y la continuidad del negocio.

Naturalmente, nos tomó por sorpresa e inmediatamente comenzamos a investigar.

Tras una inspección más detallada, parecía que algunas reglas de detección descuidadas podrían haber causado el problema.

Trabajé en seguridad de endpoints durante más de cuatro años antes de hacer la transición a un rol de analista de SOC (Centro de Operaciones de Seguridad). Esta experiencia me dio una visión directa de los desafíos de gestionar alertas y detecciones, un tema estrechamente relacionado con el costo real de los falsos positivos.

Como alguien que ha escrito reglas de detección, entiendo la tentación de tomar atajos. Al principio de mi carrera, cometí errores similares. Con la experiencia, aprendí la diferencia entre reglas buenas y malas y la importancia de aprovechar las tecnologías adecuadas para escribir reglas. Por eso la mayoría de los proveedores de seguridad emplean múltiples motores para abordar diferentes tipos de ataques de manera efectiva.

En este caso, el problema parecía surgir de dos factores:

  1. El subdominio WP3[.]XYZ: Utilizamos un servicio para generar descripciones breves de dominios usando datos internos e IA (Domain Insights). Si bien las descripciones tienen como objetivo proporcionar contexto útil, no están destinadas a fines de detección.
  2. Mala interpretación por parte de proveedores de AV: Algunos proveedores de antivirus marcaron el nombre de dominio simplemente porque aparecía en nuestra URL. Este tipo de detección, basada únicamente en la estructura de la URL, carece de contexto y puede llevar a interrupciones innecesarias.

Para ayudar a la comunidad, compartimos el código completo en nuestro blog para que otras empresas mejoren sus detecciones. Sin embargo, marcar un dominio que sirve cargas maliciosas sin el contexto adecuado es una práctica problemática. Hemos abordado este problema en detalle en otra publicación del blog (¿Siguen siendo buenos los feeds de amenazas en 2024?).

El costo real de los falsos positivos

Los falsos positivos pueden parecer insignificantes a primera vista, pero su impacto puede ser profundo:

  1. Interrupción operativa: Incluso una tasa de falsos positivos de 1:100,000 puede tener consecuencias graves si interrumpe transacciones críticas. Por ejemplo, imagina una pasarela de pago siendo marcada incorrectamente durante una temporada alta de compras. Esto podría bloquear miles de transacciones legítimas, resultando en clientes frustrados, pérdida de ingresos y daño potencial a la reputación de la empresa.
  2. Fatiga del analista de SOC: Los FP pueden desperdiciar miles de horas mientras los analistas intentan clasificar e investigar problemas inexistentes. Esta fatiga puede llevar a que los verdaderos positivos (TP) pasen desapercibidos.
  3. Impacto en el negocio: Esta es la consecuencia más preocupante, ya que puede poner en peligro toda la operación de una empresa.

Profundicemos en el punto tres.

En cside, somos una startup pequeña y joven, y nuestro camino ha sido impulsado por la pasión y el deseo de contribuir significativamente a la comunidad de ciberseguridad. Sin embargo, si los productos de seguridad marcan nuestro sitio web como malicioso, podría poner en peligro todo por lo que hemos trabajado.

Recuerdo el pánico inicial al ver la detección: no se trataba solo de solucionar un problema, sino de salvaguardar la confianza que hemos construido con nuestros clientes. El tiempo y la energía gastados en abordar tales problemas podrían interrumpir significativamente las operaciones, especialmente para empresas pequeñas como la nuestra. Mientras que las grandes corporaciones podrían superar tales desafíos, para las organizaciones más pequeñas, podría significar un desastre.

Por qué es importante

El costo real de los falsos positivos va más allá de los desafíos técnicos. Impacta a las empresas, los clientes y los medios de vida. Aquellos que han experimentado las repercusiones de primera mano saben cuánto duele.

Nuestro compromiso en cside

En cside, creemos firmemente en una política de cero falsos positivos.

Nos esforzamos por:

  • Compartir todo lo que sabemos con la comunidad de manera abierta y transparente.
  • Usar nuestros propios productos para garantizar precisión y confiabilidad.
  • Minimizar el impacto de los falsos positivos mientras mejoramos nuestras capacidades de detección.

Entendemos el costo tanto de los falsos positivos como de los ciberataques, por lo que estamos comprometidos con la mejora continua y la colaboración con la comunidad en general.

Si tienes preguntas o sugerencias, no dudes en contactarnos. Siempre estamos abiertos a recibir comentarios para hacer que nuestros esfuerzos sean aún mejores.

Himanshu Anand
Software Engineer

I'm a software engineer and security analyst.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

Cuando marcaron nuestro propio dominio cside.dev como sospechoso, los tickets de soporte se dispararon, las altas bajaron y los partners se cuestionaron seguir usándonos. El coste en dólares es difícil de medir, pero el golpe a la confianza es inmediato y dura más que la alerta.

Ajusta las reglas contra una línea base de comportamiento bueno conocido, muestra contexto con cada alerta y deja que los analistas devuelvan correcciones al modelo. Eso mantiene alto el recall y sube la precisión, que es lo que hace cside con la detección del lado del cliente.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Reservar una demo
Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo