Falso negativo
¿Qué es Falso negativo?
Falso negativoActividad maliciosa que la deteccion no llego a marcar, dejando la amenaza inadvertida y permitiendo al atacante continuar sin alertar a los defensores.
Un falso negativo es un fallo silencioso de la deteccion: ocurre un ataque real pero no se dispara ninguna alerta, por lo que los analistas no tienen oportunidad de responder. Causas habituales son fuentes de log ausentes, firmas evadidas por el atacante, detecciones demasiado estrechas, pipelines rotos, huecos en ventanas de tiempo y tecnicas como living-off-the-land o C2 cifrado. Los falsos negativos son mas dificiles de medir que los positivos porque, por definicion, son invisibles. Se reducen con ejercicios purple team, simulacion de ataques (BAS), mapeo a MITRE ATT&CK, tests unitarios de detecciones y analisis continuo de brechas de telemetria.
● Ejemplos
- 01
Un atacante usa binarios firmados de Windows (LOLBins) para ejecutar comandos que ninguna firma detecta.
- 02
Una nueva familia de malware pasa desapercibida porque el trafico de C2 cifrado no se inspecciona en el proxy.
● Preguntas frecuentes
¿Qué es Falso negativo?
Actividad maliciosa que la deteccion no llego a marcar, dejando la amenaza inadvertida y permitiendo al atacante continuar sin alertar a los defensores. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Falso negativo?
Actividad maliciosa que la deteccion no llego a marcar, dejando la amenaza inadvertida y permitiendo al atacante continuar sin alertar a los defensores.
¿Cómo funciona Falso negativo?
Un falso negativo es un fallo silencioso de la deteccion: ocurre un ataque real pero no se dispara ninguna alerta, por lo que los analistas no tienen oportunidad de responder. Causas habituales son fuentes de log ausentes, firmas evadidas por el atacante, detecciones demasiado estrechas, pipelines rotos, huecos en ventanas de tiempo y tecnicas como living-off-the-land o C2 cifrado. Los falsos negativos son mas dificiles de medir que los positivos porque, por definicion, son invisibles. Se reducen con ejercicios purple team, simulacion de ataques (BAS), mapeo a MITRE ATT&CK, tests unitarios de detecciones y analisis continuo de brechas de telemetria.
¿Cómo defenderse de Falso negativo?
Las defensas contra Falso negativo combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Falso negativo?
Nombres alternativos comunes: FN, Deteccion perdida.
● Términos relacionados
- defense-ops№ 406
Falso positivo
Alerta que clasifica como maliciosa una actividad legitima, gastando tiempo de los analistas y erosionando la confianza en la deteccion que la produjo.
- defense-ops№ 307
Ingenieria de deteccion
Disciplina de disenar, probar, desplegar y mantener detecciones de seguridad como codigo, con cobertura medible sobre tecnicas adversarias.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
● Véase también
- № 041Fatiga de alertas