Skip to content

¿Qué es peor en la detección de seguridad: un falso positivo o un falso negativo?

Respuesta breve

Desde un punto de vista puramente de seguridad, un falso negativo suele ser peor: significa que un ataque real pasó sin detectarse, así que no hay respuesta, ni contención, y la brecha puede permanecer latente sin descubrirse. Pero los falsos positivos no son inofensivos: en grandes volúmenes provocan fatiga de alertas, donde los analistas empiezan a ignorar las alertas y se les escapa la real. La respuesta correcta nombra el compromiso, no solo un ganador.

Esta pregunta parece querer un ganador de una sola palabra. La trampa es responder con seguridad absoluta en cualquier dirección: el entrevistador comprueba si sabes razonar sobre el compromiso como un ingeniero de detección.

Define primero los términos

  • Un falso positivo es un evento benigno marcado como malicioso: una alerta desperdiciada.
  • Un falso negativo es un evento malicioso que no fue marcado: un fallo.

Por qué los falsos negativos suelen ser peores

Un falso negativo significa que un ataque se coló sin detección ni respuesta. No hay investigación, ni contención, y el adversario puede permanecer latente, escalar y exfiltrar mientras crees que estás a salvo. El coste de una sola brecha no detectada puede eclipsar el de triar muchas falsas alarmas. Desde un punto de vista puro de riesgo, el ataque no detectado es el escenario de pesadilla.

Por qué no puedes descartar los falsos positivos

Aquí está la sutileza que separa a los buenos candidatos: demasiados falsos positivos provocan fatiga de alertas. Los analistas ahogados en ruido empiezan a aprobar mecánicamente o a ignorar las alertas, y entonces se les escapa la real. Así que un exceso de falsos positivos fabrica falsos negativos. Los dos modos de fallo están vinculados, no son independientes. El distractor que dice «el ajuste elimina ambos» ignora que cada umbral de detección compensa uno contra otro.

La respuesta madura

Afirma que un falso negativo suele ser peor, y luego reconoce de inmediato que unos falsos positivos sin control erosionan la capacidad de detección y crean de hecho falsos negativos. Menciona el ajuste, la priorización basada en el riesgo y el contexto (una baliza de ransomware no detectada es mucho peor que un escaneo de baja gravedad no detectado).

Qué buscan los entrevistadores

El encuadre por el compromiso, el vínculo con la fatiga de alertas, y el rechazo a dar un absoluto fuera de contexto.

Posibles preguntas de seguimiento

  • ¿Cómo provoca indirectamente falsos negativos la fatiga de alertas causada por falsos positivos?
  • ¿Cómo ajustarías una regla de detección ruidosa sin crear puntos ciegos?
  • ¿Cuándo podrías tolerar deliberadamente más falsos positivos?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.