Se trata de un tipo de anomalía o error en el resultado de una medición o cálculo dado en un modelo de clasificación binaria, es decir, aquel modelo donde se agrupan los resultados frente al cumplimiento o incumplimiento de una hipótesis.
En estadística son denominados errores de tipo I, o también errores de tipo alfa (α) (siendo α la probabilidad de que exista este error). Estos se cometen cuando el investigador o la persona que cataloga un evento lo hace como verdadero siendo este falso respecto a la hipótesis. Es decir, son aquellos resultados que pese haber sido catalogados como positivos dentro de nuestro grupo muestral, resultan ser negativos en realidad.
Pueden existir tantos tipos de falsos positivos como hipótesis se pueden plantear para una población (donde población hace referencia al grupo muestral en la terminología del campo de la Estadística). Igualmente, para clarificar el concepto aquí se muestran un ejemplo:
- Dígase de un equipo de control de amenazas que tiene que catalogar las alertas que le llegan a su centro de control mediante un método “X”. Al final del día el mando intermedio realiza controles aleatorios para comprobar la calidad del trabajo, en lo que percibe que una alerta “Y”, que había sido catalogada como una amenaza, resulta ser inocua para el cliente. En este caso se puede decir que la alerta Y resultó ser un falso positivo.
En estadística, se llama sensibilidad a la capacidad de un sistema para dar con los valores verdaderos y evitar los valores falsos o, dicho de otro modo, a la probabilidad de obtener una alerta de indicador anómalo en la prueba diagnóstica estando sano. Algunas causas de los falsos positivos son las siguientes:
- Fallo en las herramientas de medida.
- Semejanza de las características de un miembro de la población con aquellos que sí que encajan en el modelo. Es decir, cuando se define cualquier modelo se tiene que marcar una línea en algún sitio de lo que va a representar una hipótesis positiva o negativa. Existen casos donde es trivial, ya que las características que se desea analizar son binarias pero otros casos donde no lo es, por ejemplo, cuando se intenta definir a partir de cuántos intentos de autenticación se debería considerar esta acción como un ataque de fuerza bruta.
- Factor humano. El ser humano presenta sesgos que pueden hacer que no se apliquen los modelos de una manera totalmente estricta. Esto puede llevar a fallos de falso positivo.
Resulta en este contexto interesante señalar el concepto de tasa de falsos negativos, definida como la probabilidad de obtener un resultado negativo en la prueba siendo verdadera la hipótesis. Por ejemplo, un caso de falso negativo podría ser:
- Hoy en día el funcionamiento de los antivirus se está modernizando. Anteriormente estos funcionaban mediante el análisis de firmas, y actualmente emplean tecnologías de detección heurística. Este último se basa en etiquetar los comportamientos habituales como “naturales” y clasificar al resto de “anómalos”. Ahora bien, si un atacante lograra comportarse dentro de la “normalidad” del modelo, este resultaría ser etiquetado como inocuo, produciendo así un falso negativo.
Con carácter general, cuando se habla de la detección de ciberamenazas, se produce un falso positivo cuando se genera una alerta por amenaza que resultó no serlo. Del mismo modo, un falso negativo se produce cuando una amenaza real no fue detectada. Por tanto, se puede decir que un falso negativo es un hecho potencialmente peligroso mientras siga sin detectarse y que un falso positivo suele obstaculizar la usabilidad de la infraestructura hasta que es descartado.
