Inicio > avast! > Explicacion detallada sobre el incidente de los falsos positivos

Explicacion detallada sobre el incidente de los falsos positivos

Sábado, 5 de Diciembre de 2009 Dejar un comentario Ir a comentarios

Seguidamente os ofrecemos una explicación detallada realizada por un técnico de avast! sobre lo que ocurrió el jueves por la madrugada, respecto a la actualización que introdujo falsos positivos en numerosas aplicaciones no malignas:

Normalmente, tenemos dos actualizaciones diarias de la base de datos de virus, generalmente una por la mañana y otra por la tarde/noche (salvo en casos en que haya alguna emergencia). El actual proceso de realización de actualizaciones está bien definido e incluye múltiples comprobaciones para asegurarnos de que las definiciones que sacamos no causan ningún problema grave. Por ejemplo, cada actualización que sacamos a la luz tiene que pasar un test de falsos positivos en máquinas que contienen terabytes de datos correspondientes a cientos de miles de aplicaciones (realizamos varios test en paralelo pero aún así conlleva al menos una hora completarlos). El más mínimo falso positivo en este test es suficiente para que la actualización vuelva al laboratorio de virus y sea revisada. Una vez realizada esta comprobación, tiene que volver a pasar el test completo hasta que no exista ningún falso positivo.

Ahora que sabemos todo esto, ¿cómo pudo pasar que sacáramos al aire una actualización de las definiciones que produjera tantos falsos positivos? ¿Tuvimos tan mala suerte que ninguna de las aplicaciones que fueron detectadas como malignas estaban incluidas en los test? En otras palabras, ¿es el test que realizamos poco fiable?

No. De hecho, un análisis realizado posteriormente mostró que la actualización que causó el desastre (VPS 091203-0) identificaba al menos 50 aplicaciones benignas como infectadas. El problema fue que el test no fue realizado en su totalidad antes de que la actualización fuera publicada.

El día 2 de diciembre, cerca de las 9 de la noche sacamos una actualización programada (VPS update 091202-1). Esta actualización funcionó correctamente para la mayoría de usuarios. Pero debido a un error en ella, este update no funcionaba en algunas instalaciones de avast! 5 beta. En estos casos, el servicio de avast! no arrancaba después de reiniciar el equipo. Recordad que avast! 5 está todavía en fase beta y errores como este todavía pueden ocurrir, ya que se trata de un producto no terminado.

Poco tiempo después de lanzar la actualización 091202-1, tuvimos consciencia del problema con la versión 5 de avast! y después de hacer varios análisis, decidimos realizar otra actualización que debería haber resuelto el problema. Era cerca de la 1 de la madrugada y la situación era algo apremiante porque, como decía, algunos usuarios de la beta estaban experimentando el problema antedicho y había que hacer algo rápidamente. Una de las personas que no tiene como misión normal la realización de actualizaciones VPS (pero que tiene los conocimientos técnicos necesarios de cómo se realiza esto) se adelantó y publicó el update problemático. No se siguió el proceso normal y se usaron ficheros de entrada equivocados para generar el VPS: archivos que estaban preparados para ser testeados, pero que no lo fueron.

Aún así, después de que la actualización fuera lanzada (cerca de las 12:30 GMT, hora local 01:30 en Praga), todavía había alguna posibilidad de conseguir avisos tempranos sobre el fiasco de la actualización y por tanto que el efecto fuera menor. La ironía del caso es que esta persona estuvo comprobando durante al menos una hora que todo estuviera bien, pero los sistemas internos usados para detectar alguna anomalía (como por ejemplo una carga inusual en los servidores de reporte de falsos positivos) no mostraron nada especial durante ese tiempo. También tendría que haber comprobado el foro y así se hubiera percatado de que algo no estaba funcionando bien, pero desafortunadamente no lo hizo.

Los responsables del departamento no fueron alertados hasta las 05:15 de la mañana, cuando el problema ya era de una entidad considerable. Nos llevó 75 minutos más realizar la cura.

¿Cuál es la conclusión? Ciertamente tenemos que mejorar el proceso para que algo parecido no pueda volver a ocurrir. De hecho se trata del primer problema grave de este tipo que hemos tenido, por lo que creemos que dicho proceso es fiable, siempre que (claro está) sea seguido estrictamente. Pero aún así tenemos que asegurarnos de que se refuerza en cada posible caso.

Además, estamos pensando en algunos nuevos sistemas de alertas tempranas. Por ejemplo, que ciertas personas muy vinculadas a avast! (usuarios avanzados pero que no pertenecen a la empresa en sí) tengan un número de teléfono dedicado para casos de emergencia. Si esto hubiera sido así, el problema habría sido contenido mucho más rápido y por tanto el daño causado considerablemente menor. Los sistemas de alertas automáticas todavía tienen su lugar, pero en muchos casos la intervención humana es lo mejor. Y es preferible ser alertados 10 veces por incidencias que no son tales, que no ser avisados de ninguna manera.

Todo el proceso en su totalidad será completamente revisado, y se establecerán planes de gestión de crisis. Planeamos hacer todo esto durante la próxima semana, y compartiremos nuestras conclusiones con vosotros.

Estamos realmente afectados por todo lo ocurrido, y lo sentimos muchísimo. Hemos aprendido mucho de este incidente y estamos asegurándonos de que nunca más pueda volver a suceder.

Así pues, si creéis en segundas oportunidades, por favor seguid con avast!. Sabemos que hemos metido la pata pero miramos hacia el futuro con ganas de seguir luchando y mejorando. Los creadores de virus no duermen.

Muchas gracias.

  1. Noelita
    Sábado, 5 de Diciembre de 2009 a las 15:11 | #1
    Responder | Citar

    Seguiré con Avast, es el mejor antivirus del mundo para mí, pero por favor no nos vuelvan a asustar de esta manera….realmente había quedado muy preocupada

  2. Noelita
    Sábado, 5 de Diciembre de 2009 a las 15:34 | #2
    Responder | Citar

    Soy yo de nuevo XD..una pregunta..necesito actualizar Avast??..tengo el 4.8…ya es viejo??

  3. Juanjo
    Sábado, 5 de Diciembre de 2009 a las 16:22 | #3
    Responder | Citar

    Hola Noelita, como hemos dicho en este blog este incidente no caerá en saco roto y servirá para que todo el personal de avast! mejore todos los procesos y sistemas de emisión de nuevas actualizaciones. Realmente veo difícil que un caso semejante pueda volver a ocurrir. Recordemos que casos de falsos positivos pasan en todos los antivirus alguna vez, pero lo de este incidente es otro nivel.

    Respecto a tu pregunta, no debes preocuparte, tu versión es la última que hay oficial. De esta versión pasaremos a la 5 a principios de 2010.

  4. Rolando
    Sábado, 5 de Diciembre de 2009 a las 20:03 | #4
    Responder | Citar

    Hola amigos, un saludo desde Costa Rica, yo tengo el avast antivirus y a mi tambien me sucedio el mismo problema de todos los usuarios de varios paises del mundo, mi antivirus no borro un archivo importante del sistema, pero por ejemplo cuando queria abrir un reproductor de musica me salia el mensaje de avast indicandome que el mismo reproductor contenia el virus que causo este problema (falso positivo), ya el problema se soluciono, pero por favor estimados señores de avast, nosotros como usuarios del mejor antivirus les pedimos que no vuelva a suceder esta situacion, los comprendemos a ustedes del problema que les paso, pero queremos seguir teniendo la misma confianza a avast, yo en lo personal seguire con avast y espero la nueva version 5 del mejor antivirus, gracias

  5. Douglas
    Domingo, 6 de Diciembre de 2009 a las 04:31 | #5
    Responder | Citar

    Bueno pues la verdad que yo confio mucho en avast! y pues hay que darles una segunda oportunidad, estoy esperando mucho avast! 5, y pues yo tengo avast! professional y me dio poquitos problemas pero seguire confiando en avast!, sigan protegiendo asi como lo han hecho, los felicito por este maravilloso antivirus que para mi el mejor

  6. Ariel Tomas
    Domingo, 6 de Diciembre de 2009 a las 05:44 | #6
    Responder | Citar

    Hola como estan, soy de Bahia Blanca, (Argentina) es la primera vez que entro en este lugar. el dia 3 (jueves pasado) desde mi laptop (tiene Windows Vista) intente ingresar a internet por medio de modem inalambrico de empresa Claro no logrando hacerlo y me aparecio el aviso de “VIRUS”, por medio del antivirus Avast, se detectaron varios Ej: waitingform.dll — lan.spa.dll – (creo que 12 en total) infectados con win32:delf_mzg y otros. Sinceramente no se que hacer. Lo poco que se me ocurrio fue desinstalar la aplicacion de Claro y reinstalarla, pero antes de finalizar me da aviso de error desde que paso esto. Tambien probe el modem inalambrico con otra PC de escritorio y aparentemente funciona bien. Les agradeceria que pasos seguir para reponer el funcionamiento de mi laptop con el Modem inalambrico para internet, dado que es una demis herramientas de trabajo. Mil disculpas si no me he explicado bien, no soy experto en el tema.
    Saludos y muchas gracias

  7. Reynald
    Domingo, 6 de Diciembre de 2009 a las 17:02 | #7
    Responder | Citar

    Hola desde Uruguay, como se encuentran luego de los problemas surgidos?
    Lamentablemente también soy una de las personas que se vieron afectadas por el falso positivo. Por suerte solo me encontró un total de 37 archivos infectados los cuales borre al igual que las aplicaciones y las reinstale. Los únicos 2 archivos infectados de la carpeta Windows los pase al baúl.
    En momentos donde estamos esperando con ansias la versión final de Avast 5 sucede este problema que catalogaré como grave.
    Yo por mi parte les daré una segunda oportunidad (no la desperdicien). Continuaré con Avast pues creo es de lo mejor en antivirus tanto Gratis como de pago. Además la versión 5 promete y mucho por las mejoras incluidas con respecto a la 4.8.

    Desgraciadamente tengo varios amigos que tuvieron los falsos positivos y uno de ellos borro 220 archivos, con lo que Windows le quedo casi inservible (demorá una eternidad para levantar, aparecen mensajes de falta de archivos y no funciona casi nada), en una palabra cambiará a Gdata. Para que no suceda lo mismo con otros usuarios, no permitan que vuelva a ocurrir el error. Sería una lastima que teniendo un buen antivirus se echara todo por la borda por no controlar bien las actualizaciones.
    Ahora a aprender de los errores, no cometiendo nuevamente los mismos y a continuar enfrentando el futuro con un producto mejor testeado y fiable.

  8. Miguel Durán Silva
    Domingo, 6 de Diciembre de 2009 a las 17:05 | #8
    Responder | Citar

    Saludos a Todos. Desde Floridablanca Santader, área Metrolpolitana de Bucaramanga, Colombia. Para reportar y dejar constancia de los daños causados por este falso positivo a través con el Win 32; Delf-MZG. Desde el momento en que Avast me indica la presencia de este “virus” y dada la confianza que tenía con AVAST, procedía a programar un escaneo desde el inicio y a profundidad el cual como resultado me inutilizó muchisimos de mis programas más valiosos. He intentado reparar los daños pero la verdad no creo saber que tantos desperfectos pudieran estar afectándome incluso al mismo sistema operativo (WIN XP) razón por la cual estoy considerando en este momento un formateo de mi PC. Lamento este incidente y aunque ya estoy enterado de los detalles y por menores de lo sucedido la verdad siento que la confianza en Avast esta un tanto mermada. Es paradójico que precisamente sea a través de mi propio antivirus que pudieran haber penetrado la barrera de protección y el blindaje que tenía montado en mi equipo con el liderazgo de AVAST y OUTPOST, AD-Aware entre otros tantos. Pero bueno así son estas cosas. Espero que éste desafortunado caso haya dejado valiosas lecciones para todos. Saludos.

  9. Leonor
    Lunes, 7 de Diciembre de 2009 a las 19:07 | #9
    Responder | Citar

    Hola a todas y a todos, desde Valencia (España):

    Después de leer la explicación sobre el error he sacado algunas conclusiones que paso a detallar:
    - En primer lugar, el proceso riguroso que se debió llevar de comprobación no se hizo, se saltó alguno de sus pasos.
    - En segundo lugar, deben confiar en ustedes mismos y en los procesos que nunca les han fallado y no confiar en personas que se las dan de sabias porque tiene una formación académica impecable. Esto suele ser muy peligroso.
    - En tercer lugar, no deben exprimir a las personas que trabajan para ustedes y deben darles seguridad en el empleo y sueldos dignos, además de permitirles participar en las decisiones importantes.

    Una pregunta: ¿debo desinstalar y reinstalar avast!? Estos días me ha dicho que no podía comunicar con el servdor y daba el error 501.

    Muchas gracias por estar ahí.
    Salud.

  10. Juanjo
    Lunes, 7 de Diciembre de 2009 a las 19:11 | #10
    Responder | Citar

    Estimada Leonor, muchas gracias por tu comentario. Para consultas técnicas, por favor dirígete a nuestro foro:

    http://latiendaavast.com/foro

    Un saludo.

  11. Leonor
    Lunes, 7 de Diciembre de 2009 a las 21:40 | #11
    Responder | Citar

    @Juanjo

    Hola Juanjo, gracias por tu respuesta, este es sólo para decirte que ya puedo actualizarlo y no me da ningún error, se arregló solo.

    Muchas gracias
    Leonor

  12. Juanjo
    Martes, 8 de Diciembre de 2009 a las 02:40 | #12
    Responder | Citar

    Hola de nuevo Leonor, me alegra comprobar que se te ha resuelto el problema, un saludo.

  13. Luis
    Martes, 8 de Diciembre de 2009 a las 06:39 | #13
    Responder | Citar

    Hola a todos desde Uruguay, bueno pese al problema del otro día que me tuvo varias horas frente al computador y de que me hubiera detectado 101 archivos infectados de los cuales muchos eran de windows, lo cual hizo que el sistema operativo quedara muy inestable forzandome a formatear a pesar de todo sigo creyendo que Avast! es el mejor antivirus por lejos y lo seguire usando, ya que ningun otro me da la senzacion de que realmente esta protegiendo mi pc de las amenazas. Saludos

  14. Rodny
    Martes, 8 de Diciembre de 2009 a las 17:08 | #14
    Responder | Citar

    De mi parte siguen con un cliente mas… me parece que avast! es un exelente antivirus… y no lo cambiaria por nada… errar es de humanos… sigan adelante y exitos !!

  15. Cacique
    Martes, 8 de Diciembre de 2009 a las 17:51 | #15
    Responder | Citar

    Hola a todos, primeramente, para mi AVAST es uno de los mejores antivirus del mundo y la confianza que les tengo no se perderá. La verdad es que el problema se dió por ese error, ocacionando la deteccion de virus en archivos importantes para el SO y dichos programas como el ARES, SKYPE, TUNE UP ULTILES, etc. causando un gran caos, supongo que ésto no volverá a ocurrir, y la verdad creo que siempre hay una primera vez para todo; sin embargo, de todos los antivirus que he usado varios me dieron problemas en algunas ocaciones, algo que con AVAST nunca sucedió. Saludos desde El Salvador.

  16. Douglas
    Martes, 8 de Diciembre de 2009 a las 19:11 | #16
    Responder | Citar

    Cacique es cierto con eso de primera ves igual que tu yo nuca perdere la confianza con avast! y es bueno saber que eres de mi pais, bueno a esperar avast! 5.
    Saludos desde El Salvador

  17. Felipe
    Martes, 15 de Diciembre de 2009 a las 03:38 | #17
    Responder | Citar

    Al igual que muchos de ustedes me di cuenta tarde que el antivirus estaba borrando varios archivos exe y estaba mandando falsas alarmas , en resumidas cuentas tuve que restaurar el So y actualice la base de datos inmediatamente . Avast es un gran antivirus ademas es gratuito y tiene proteccion en tiempo real , empresas como Avast y Avira me parecen muy buenas ya que nos permiten proteger nuestros pc y ademas de forma gratuita .

  18. Raúl Adrián
    Viernes, 18 de Diciembre de 2009 a las 01:23 | #18
    Responder | Citar

    ¡Gracias por la información, al menos ya se que no tuvo que ver con FIREFOX, y que puedo entar a las paginas que yo estaba en aquel día con la seguridad de que no hay ningun virus!!!

  19. martin
    Sábado, 2 de Enero de 2010 a las 22:28 | #19
    Responder | Citar

    Soy de Argentina, y uso mucho avast, es el mejor que hay,, pero no pueden hacer esto, por ejemplo mi padre tiene una empresa y a pagado x avast! professional y le paso todo esto y se le dañaron muchos archivos y tuvo q reinstalar todo…para mi puede ser q les an hackeado los servidores xq una empresa como alwil no le puede suceder esto….de todas formas seguire con avast, es el mejor…

  20. Cacique
    Domingo, 3 de Enero de 2010 a las 05:59 | #20
    Responder | Citar

    @Douglas
    Que bien Douglas que seas del mismo pais que soy yo… Desde que parte de El Salvador te estás comunicando aca? y como fué que te diste cuenta de éste incidente de avast?
    Salu2 a todos… y Feliz año nuevo 2010… A esperar avast 5 señores!…

  21. Douglas
    Martes, 5 de Enero de 2010 a las 17:30 | #21
    Responder | Citar

    De San Salvador y tu? y pues me di cuenta porque me habia tomado el tune up como virus, gracias igual feliz año nuevo a todos, ya quiero que salga avast! 5 hay que esperar un buen rato me imagino, ojala que salga rapido.
    Saludos

  22. Cacique
    Jueves, 7 de Enero de 2010 a las 01:36 | #22
    Responder | Citar

    @Douglas
    De Ilobasco, Cabañas… Y tambien estoy ancioso por ver el avast! 5… tengo curiosadad sobre las nuevas funciones de la version 5… agregame en tu correo, éste es mi e-mail… jcgomezsanchez91@hotmail.com
    para estar en contacto y tener a amigos de mi pais tambien…
    saludos…

  1. Sin trackbacks aún.