Impacto del monopolio de Microsoft en la seguridad Tips TICs El dominio aplastante en el mercado de las soluciones de Microsoft, que se estima mantiene una cuota superior al 90% del parque mundial, es en gran parte el responsable de que las infraestructuras informáticas sean más vulnerables a virus y ataques. Esta es la conclusión a la que han llegado siete reconocidos expertos en seguridad, coautores de un informe que pone de relieve los peligros intrínsecos de las prácticas monopolistas y la falta de diversificación en los entornos informáticos. Aunque el informe ha causado cierto revuelo en los medios de comunicación, sobre todo en EE.UU., los argumentos utilizados son bien conocidos en el mundo de la seguridad. Nada más conocer la publicación del informe, recordé un ejemplo muy gráfico que mi compañero Jesús Cea expuso hace 2 años en un congreso de seguridad, donde ambos analizábamos en nombre de Hispasec el grado de "culpabilidad" de Microsoft en la aparición de vulnerabilidades y epidemias de virus.Entre otros aspectos, salió a colación como la falta de diversificación aumentaba los riesgos de seguridad y facilitaba las infecciones masivas.El ejemplo de Jesús Cea se situaba en el terreno de la agricultura, explicando como los monocultivos tenían importantes problemas cuando eran atacados por plagas o enfermedades, ya que el agente dañino se propaga rápidamente y afecta a la totalidad de la especie cultivada, aprovechando que se trata de una plantación homogénea con las mismas propiedades y puntos débiles. Por contra, los cultivos múltiples o policultivos, que intercalan la plantación de diversas especies sobre el terreno, son mucho más resistentes a las plagas y enfermedades, además de proporcionar otras ventajas en términos de estabilidad, rendimiento y productividad. La diversificación que establecen los policultivos actúan minimizando el impacto de las plagas y enfermedades, ya que el agente dañino se encuentra con especies a las que no puede atacar ni permiten su propagación, y en cualquier caso nunca afecta a toda la plantación.A grandes rasgos, y en clave tecnológica, esta es una de las líneas argumentativas principales del informe "CyberInsecurity: The Cost of Monopoly". La analogía es tal que en una charla posterior, Will Rodger, director de la Computer and Communications Industry Association, comentaba que la situación actual, con Windows dominando en la mayoría de los PCs, era similar a las condiciones que se encontraron los granjeros durante el Hambre Irlandesa a mediados del siglo XIX.Para los que no estén al tanto de esta crisis, por aquellos tiempos Irlanda tenía en la patata su principal fuente de alimentación. Una devastadora plaga entre 1845 y 1848 asoló en varias ocasiones los cultivos, lo que derivó en una época de hambre, enfermedades, muertes, y la catástrofe sumió a Irlanda en una profunda depresión en todos los ámbitos.Como era de esperar la visión de Microsoft difiere totalmente. En palabras de Sean Sundhall, portavoz de la compañía, este tipo de analogías pueden ser más útiles para las patatas que para el software. Sundhall critica que el informe sólo señale los aspectos negativos de la monocultura en el sistema operativo, y sin embargo no mencione los positivos como la facilidad de mantenimiento. PARCHE SOBRE PARCHEEl informe, que no se basa en analogías con la agricultura, sino en hechos concretos y constatables de las políticas de Microsoft, también señala como el grado de complejidad que cada vez es mayor en Windows supone irremediablemente un aumento de los riesgos de seguridad.Según este análisis, decisiones como la de incluir Internet Explorer de forma nativa en el sistema operativo, y convertirlo en parte integral y esencial del mismo, no responde a necesidades reales, sino a planes estratégicos y de mercado para castigar cualquier competencia en este terreno. Los riesgos de seguridad que esta decisión supone lo sufrimos regularmente, sólo hay que repasar los históricos de "una-al-día" de Hispasec, incluido el último agujero crítico del navegador de Microsoft que data de primeros de septiembre y del que aun esperamos solución.El número de vulnerabilidades en el que desemboca esta complejidad artificial adquirida por el sistema de Microsoft, con la integración de aplicaciones y funcionalidades en Windows que no obedece a necesidades básicas ni a la elección de los usuarios, lleva consigo una política de continuos parches para intentar corregir los problemas de seguridad. El informe recoge que este año llevamos 39 parches de Microsoft a día 16 de septiembre, a razón de parche cada 6 días. Un ritmo frenético para los administradores y profesionales, y casi una odisea para un usuario particular.Además, el análisis mantiene que Windows ha llegado a tal punto de complejidad que la instalación de un parche para corregir una vulnerabilidad conocida tiene muchas probabilidades de introducir una nueva vulnerabilidad desconocida, un hecho que también hemos podido constatar en numerosos casos. A los riesgos de seguridad, hay que unirle los problemas de compatibilidad y estabilidad que las actualizaciones pueden acarrear, lo que a efectos prácticos supone que muchos usuarios y profesionales, temerosos de los efectos colaterales, retrasen la instalación de los parches hasta pasados unos días. PROTOCOLOS Y FORMATOS CERRADOSOtro de los frentes que utiliza Microsoft para controlar el mercado, también denunciado en el informe, es utilizar su posición de fuerza para implantar de forma unilateral estándares de facto, cuyos detalles mantienen ocultos, asegurándose su explotación.Como ejemplos básicos que el usuario puede apreciar día a día, no son pocas las páginas webs que sólo se visualizan de forma correcta en Internet Explorer o que utilizan componentes que sólo pueden ser ejecutados bajo Windows. También hoy día es difícil encontrar una empresa privada u organismo público (lo que es más grave) que no utilice Microsoft Word como procesador de textos, incluido su formato propietario de documentos (.doc) tanto para el almacenamiento como intercambio de los mismos, en vez de utilizar formatos abiertos no dependientes de intereses privados.En este tipo de situaciones los usuarios de otras plataformas no Windows se encuentran discriminados, hasta tal punto que para acceder a servicios de la administración pública se fuerza a utilizar las soluciones de Microsoft. Afortunadamente se está avanzando algo en este terreno, por ejemplo hoy día ya es posible acceder a los programas de ayuda de la Agencia Tributaria de España desde otras plataformas, aunque aún queda mucho camino por recorrer. POLÉMICAS SOBRE EL INFORMEAlgunas voces han querido poner de manifiesto una posible falta de imparcialidad en el informe, basándose en la participación de la CCIA (Computer and Communications Industry Association) en su presentación y publicación. Esta asociación de empresas integra, entre otras, a America Online, Oracle, o Sun microsystems, reconocidas competidoras de Microsoft. Además, la propia asociación tiene como fin la promoción de redes y sistemas abiertos, para garantizar la libre competencia, en clara oposición a la política de soluciones cerradas y las supuestas prácticas monopolistas de Microsoft.Los autores han hecho hincapié en la independencia del informe, alegando que su origen parte de una iniciativa totalmente personal, que en ningún momento ha sido patrocinado por la CCIA o bajo los intereses de terceros. El documento viene firmado por Daniel Geer de @Stake (empresa a la que pertenecía hasta la publicación del informe), Charles P. Pfleeger de Exodus Communications, John S. Quarterman de Matrix NetSystems, Perry Metzger, consultor independiente, Rebecca Bace de Infidel, Peter Gutmann investigador del departamento de Ciencias de la Computación de la universidad de Auckland, y el reconocido Bruce Schneier de Counterpane Internet Security.La CCIA también mantiene que su participación se ha limitado a la última fase, y que los autores se pusieron en contacto con ellos para dar la máxima difusión al informe, en especial para aprovechar sus recursos de cara a hacerlo circular en ambientes políticos y legislativos de Washington.También ha desatado ríos de tinta la salida fulgurante de Daniel Geer de @Stake, la que hasta ahora era su empresa, compañía de seguridad que tiene en Microsoft una importante fuente de ingresos. Desde @Stake aseguran que no han recibido ningún tipo de presión por parte de Microsoft, aunque tampoco esconden el malestar porque uno de sus trabajadores arremetiera públicamente contra un cliente tan importante, y se han dado prisas en desmarcarse de la opinión del mismo. BUSCANDO EL EQUILIBRIOQue Microsoft aprovecha su posición en el mercado es evidente, que los intereses comerciales se superponen a la seguridad de sus productos y que en la mayoría de las ocasiones son contrapuestos, también es constatable. De ahí a demonizar a Microsoft como origen y culpable de todos los males y problemas de seguridad que azotan a la informática actual, no parece razonable.Mi opinión personal al respecto es que Microsoft es tanto víctima como culpable de la situación. Tener su sistema implantado en más del 90% del parque informático actual lo sitúan en el punto de mira de los atacantes o de cualquier creador de virus, que siempre busca la plataforma más extendida para que su espécimen tenga un buen caldo de cultivo y que pueda obtener los mayores índices de propagación. Por tanto las vulnerabilidades de Microsoft, que en mayor o menor medida también podemos encontrar en otras plataformas, siempre tendrán una mayor repercusión en su caso.Este papel de víctima no le exime de sus problemas específicos de seguridad, más aun cuando muchos de ellos han sido originados por la implantación de sus agresivas políticas de mercado que buscan asegurarse la explotación frente a terceros.Por otro lado, es responsabilidad de los estamentos públicos y privados, sobre todo de los primeros, no someterse a la línea marcada por Microsoft o cualquier otra iniciativa interesada que no permita la libre competencia. Es muy importante ser conscientes de la importancia de adoptar estándares abiertos, de forma que las infraestructuras básicas, incluso el formato en que nuestros datos están almacenados, no dependan en exclusividad de un tercero.Desde la competencia a Microsoft, de nada sirve apuntarle y criticarle de forma constante, si de forma paralela no se ofrecen soluciones que cumplan todos los requerimientos de los usuarios finales. No sólo de seguridad vive el usuario, la realidad es que no suele ser un factor clave que incline la balanza de la elección de un sistema operativo o aplicación, factores como la sencillez de manejo son mucho más valoradas por el usuario final. Es necesario un ejercicio de autocrítica que, al margen de las prácticas monopolistas de mercado ejercidas por Microsoft, permita reconocer sus aciertos y aplicarlos en las soluciones que se ofrezcan al usuario como alternativa al dúo formado por Windows y Office.Tomado de www.hispasec.com El retorno de la inversión en entrenamiento ejecutivo de equipos gerenciales es exponencial y en minutos. Norman Vincent Peale. Te gustó? Compártelo ! Tweet Whatsapp Anterior Siguiente