Falso positivo
¿Qué es Falso positivo?
Falso positivoAlerta que clasifica como maliciosa una actividad legitima, gastando tiempo de los analistas y erosionando la confianza en la deteccion que la produjo.
Un falso positivo ocurre cuando una regla, firma o modelo de anomalia clasifica un comportamiento legitimo como amenaza. Las fuentes habituales son firmas demasiado amplias, entornos de prueba, actualizaciones de software, escaneos programados y lineas base agresivas. Los falsos positivos son caros porque cada uno consume atencion, puede disparar playbooks de SOAR y contribuye a la fatiga de alertas. Los equipos de ingenieria de deteccion miden la tasa por regla, afinan la logica, anaden listas blancas o enriquecimiento de contexto y retiran reglas que no se pueden hacer suficientemente especificas. El objetivo no es eliminar alertas sino equilibrar precision, recall y coste.
● Ejemplos
- 01
Una regla de IDS marca como ataque un escaneo de vulnerabilidades realizado por el propio equipo de seguridad.
- 02
Una regla de EDR considera malicioso un actualizador de software que invoca PowerShell.
● Preguntas frecuentes
¿Qué es Falso positivo?
Alerta que clasifica como maliciosa una actividad legitima, gastando tiempo de los analistas y erosionando la confianza en la deteccion que la produjo. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Falso positivo?
Alerta que clasifica como maliciosa una actividad legitima, gastando tiempo de los analistas y erosionando la confianza en la deteccion que la produjo.
¿Cómo funciona Falso positivo?
Un falso positivo ocurre cuando una regla, firma o modelo de anomalia clasifica un comportamiento legitimo como amenaza. Las fuentes habituales son firmas demasiado amplias, entornos de prueba, actualizaciones de software, escaneos programados y lineas base agresivas. Los falsos positivos son caros porque cada uno consume atencion, puede disparar playbooks de SOAR y contribuye a la fatiga de alertas. Los equipos de ingenieria de deteccion miden la tasa por regla, afinan la logica, anaden listas blancas o enriquecimiento de contexto y retiran reglas que no se pueden hacer suficientemente especificas. El objetivo no es eliminar alertas sino equilibrar precision, recall y coste.
¿Cómo defenderse de Falso positivo?
Las defensas contra Falso positivo combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Falso positivo?
Nombres alternativos comunes: FP, Alerta benigna.
● Términos relacionados
- defense-ops№ 405
Falso negativo
Actividad maliciosa que la deteccion no llego a marcar, dejando la amenaza inadvertida y permitiendo al atacante continuar sin alertar a los defensores.
- defense-ops№ 041
Fatiga de alertas
Desensibilizacion de los analistas causada por alertas excesivas, de bajo valor o repetitivas, que reduce la atencion y retrasa la respuesta a incidentes reales.
- defense-ops№ 307
Ingenieria de deteccion
Disciplina de disenar, probar, desplegar y mantener detecciones de seguridad como codigo, con cobertura medible sobre tecnicas adversarias.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- network-security№ 048
Detección basada en anomalías
Enfoque de detección que construye una línea base de actividad normal y marca como potencialmente maliciosas las desviaciones respecto a ella.
● Véase también
- № 1040Ajuste de reglas SIEM