Se trata de un tipo de anomalía o error en el resultado de una medición o cálculo dado en un modelo de clasificación binaria (aquel donde se agrupan los resultados frente al cumplimiento o incumplimiento de una hipótesis).
En estadística son denominados errores de tipo II o errores de tipo beta (β), al ser β la probabilidad de que exista este error. Un falso negativo acontece cuando el investigador cataloga un evento como falso pese a que su hipótesis sea verdadera. Es decir, son aquellos resultados que pese a haber sido catalogados como negativos dentro de nuestro grupo muestral, resultan ser positivos en realidad. Pueden existir tantos tipos de falsos negativos como hipótesis se pueden plantear para una población (el grupo muestral en la jerga estadística).
En el sector de la ciberseguridad, este tipo de situación puede ejemplificarse con el funcionamiento modernizado de los antivirus actuales. Anteriormente funcionaban mediante el análisis de firmas, sin embargo, hoy en día emplean tecnología para pasar de este modelo a la detección heurística. Consiste en etiquetar los comportamientos habituales como “naturales” y al resto como “anómalos”. Este modelo produce a largo plazo una serie de alertas de amenaza cuyo origen proviene de un comportamiento estadísticamente inusual producido por la pura casualidad. Todas estas alertas serían casos de falsos positivos.
En estadística la capacidad de un sistema para dar con los valores verdaderos y evitar los valores falsos se llama especificidad (en relación a evitar los falsos negativos). Se trata de la probabilidad de obtener un resultado negativo en la prueba estando sano. Al contrario, la tasa de falsos positivos es la probabilidad de obtener un resultado positivo en la prueba siendo falsa la hipótesis.
Algunas causas de los falsos negativos son las siguientes:
- Fallo en las herramientas de análisis de malware.
- Diferencias de las características de un posible malware con aquellos que sí que encajan en el modelo. Es decir, cuando se define cualquier modelo se tiene que marcar una línea en algún sitio de lo que va a representar una hipótesis positiva o negativa. Existen casos donde es trivial, ya que las características que queremos analizar son binarias. En otros casos es importante saber a partir de cuántos intentos de autenticación se debería considerar como un ataque de fuerza bruta y, por lo tanto, un posible malware o un uso habitual reiterado de un usuario que no supone un ataque sino más bien un mal uso.
- Factor humano. Las personas presentamos sesgos que pueden hacer que no apliquemos los modelos de una manera totalmente estricta. Esto puede llevar a fallos de falso negativo, por ejemplo, por no haber definido previamente de forma adecuada qué características se consideran para definir que un archivo sea un tipo concreto de malware al añadir excepciones manualmente.
