Qué hacer cuando el antivirus se vuelve loco y borra archivos limpios

A veces los antivirus se equivocan: borran archivos de Windows y entonces el PC ya no arranca. ¿Por qué ocurre algo así? ¿Se puede evitar? La respuesta es sí.

Casi todos los antivirus han tenido un episodio de “locura” a lo largo de su historia. El último ha sido Panda Antivirus, que tras una actualización de rutina, el 11 de marzo empezó a mover archivos propios a la cuarentena, lo que equivale a eliminarse a sí mismo. El consejo de Panda: esperar una actualización urgente.


Una captura del fallo: Panda poniéndose en cuarentena a sí mismo (fuente)
Panda no ha sido el único. Todavía siguen vivos en la memoria episodios como el de Avira, que en mayo de 2012 marcó archivos de Windows como infectados, o el de AVG, que ocurrió en 2008. Y estos son solo algunos de los casos más sonados; los foros de los antivirus rebosan de casos similares.

Por qué ocurren las falsas detecciones

Un antivirus moderno usa varias estrategias para detectar malware, desde reconocer su huella (que es única para cada archivo) hasta analizar el comportamiento de un programa en la memoria. La posibilidad de que un antivirus se equivoque y marque como peligroso a un archivo inocuo se denomina falso positivo.

Como explica el experto Thomas Parsons (Symantec), la mayoría de falsos positivos ocurren cuando archivos limpios son analizados erróneamente por los sistemas automáticos de las compañías de antivirus. No todos los falsos positivos son igual de graves, pero su filtrado se ha vuelto una costosa prioridad.


Centros como este de Symantec gestionan las grandes emergencias de seguridad (fuente)
A pesar de la mejora en los controles de calidad, el problema de los falsos positivos va en aumento debido a que muchos de los nuevos virus se hacen pasar por aplicaciones legítimas. Es el caso, por ejemplo, de Cryptolocker, que parece totalmente inofensivo hasta que el usuario lo ejecuta.

Cómo evitar que el antivirus borre archivos limpios

Tu antivirus es una delicada máquina de detección de intrusos. Su configuración estándar sirve para la mayoría de ocasiones, pero hay cosas que puedes hacer para reducir la agresividad y suspicacia del antivirus, y para evitar errores catastróficos.

1. Baja la sensibilidad del antivirus

En las opciones de tu antivirus, baja la sensibilidad de escaneo si es elevada. También puedes pedir que algunos archivos o directorios se excluyan.

La mayoría de antivirus permiten bajar la sensibilidad de su protección
Algunos antivirus permiten activar y desactivar la heurística, que es una técnica que a menudo genera falsas detecciones. Muchas veces no te hará falta.

2. Configura el vaciado de la cuarentena de archivos


Si tu antivirus tiene cuarentena de archivos, configúrala para que no se vacíe automáticamente. Es mejor tener un margen de tiempo antes de que eso ocurra.

Haz que el vaciado de la cuarentena ocurra en un plazo razonable de tiempo, como 30 días
3. Haz que tu antivirus te pregunte qué hacer


Conviene obligar tu antivirus a preguntar la acción a tomar en caso de detección de archivos sospechosos. No lo dejes elegir por ti, podría ser peligroso.

Revisa la configuración de tu antivirus para que pregunte siempre antes de actuar
4. Espera antes de reiniciar o confirmar


En la duda, si crees que el antivirus acaba de poner en cuarentena un archivo limpio, no confirmes la limpieza ni tampoco reinicies el PC: el borrado podría ser irreversible.

Un buen antivirus debe preguntarte qué hacer: consulta los detalles antes de borrar un archivo
En caso de duda, sobre todo si el archivo detectado tiene un nombre genérico como Trojan.Generic o Win32:PUP-gen, es mejor consultar los detalles del suceso y consultar con un experto o con el servicio de atención al cliente.

5. Infórmate sobre el virus / archivo supuestamente infectado

Una vez tengas el sospechoso en pantalla, debes recabar información sobre el mismo. Haz lo siguiente:
  • Busca el nombre del archivo en Google acompañado por "virus", a ver si hay noticias
  • Sube el archivo a VirusTotal o Jotti, para obtener una segunda opinión
  • Abre el Twitter de tu compañía de antivirus para ver si hay alguna incidencia abierta
Aquí tienes algunas de las cuentas Twitter en español de los principales antivirus:
Al obtener pistas estarás comprobando si los archivos aparentemente infectados lo son de verdad o se trata de una falsa alarma.

¿Cuándo fue la última vez que un antivirus te borró archivos importantes?

Para saber más:

Comentarios

Entradas populares de este blog

Ejercita tu cerebro con estas siete actividades

Sample Focus, una sencilla web para descargar muestras de sonidos

Cómo crear un USB de arranque para instalar Windows o Linux