¿Es Microsoft fiable?

Si damos por hecho que la luz se enciende cuando pulsamos el interruptor y que el agua corre si se abre el grifo, ¿por qué no nos extraña que el ordenador se cuelgue?Bill Gates decidió el año pasado invertir 200 millones de dólares en conseguir que sus productos no tengan agujeros. Pero el virus SQL Slammer, que infectó 75.000 ordenadores en 10 minutos -incluidas máquinas de la sede de Microsoft-, prueba que ésta es una iniciativa a largo plazo, dice la compañía, y que sólo es marketing,según sus detractores.

Cada línea de código lleva el nombre del programador que la escribió. Si se descubre un fallo, también se conocerá al responsable

Era uno de esos correos electrónicos que Bill Gates escribe, cada dos o tres años, informando a los empleados de Microsoft de los cambios en la estrategia de la compañía. Pero el e-mail de 17 de enero de 2002 era especial. Gates contaba a sus 50.600 trabajadores que la "mayor prioridad" de Microsoft era, desde ese momento, conseguir que la informática fuera "tan fiable como la electricidad, el agua o el teléfono". Gates reconocía que cada semana se encuentran agujeros en todo tipo de aplicaciones informáticas, fallos que son aprovechados por fabricantes de virus y piratas informáticos para penetrar en los sistemas. Esta cultura del fallo en la informática es algo que no pasa, ni se acepta, en ninguna otra industria. Y, añadía Gates, el software cada vez es más importante, ubicuo y complejo. Por tanto, debe ser tan seguro como cualquier otro servicio.

Gates no hablaba concretamente de los programas de Microsoft, pero su sistema operativo Windows controla nueve de cada diez ordenadores. Los fallos de seguridad de sus productos tienen, por tanto, más repercusión que los de otros fabricantes, y los creadores de virus escriben sus programas para las populares aplicaciones de Microsoft, ya que así sus creaciones tienen más impacto. "Sabemos que ha habido problemas en el pasado, y quizá no hemos reaccionado con la suficiente rapidez", reconoce Héctor Sánchez, director de Seguridad de Microsoft Ibérica. "Lo que decía el correo de Bill Gates es que la seguridad se convierte en el pilar de la compañía. Se trata de ser proactivos, en lugar de reactivos".

Detrás del sueño de Gates de una informática fiable -así se denomina esta iniciativa- hay una razón práctica para que la compañía considere ahora la seguridad del software como su principal prioridad. "Microsoft tiene muy mala prensa", explica Ian Williams, analista de Seguridad de la consultora Datamonitor, en Londres. "Las constantes noticias de virus y fallos le han hecho perder credibilidad en las grandes empresas y gobiernos", añade. Un análisis de la revista Ent News, que informa sobre las aplicaciones empresariales de Microsoft, calcula en 1.000 millones de dólares los daños provocados por las vulnerabilidades de estos programas. "Microsoft tenía que demostrar que está haciendo algo", añade Williams.

Los analistas creen que la auténtica señal de alarma ha sido la creciente popularidad del sistema operativo Linux, de libre creación y distribución, y que ya utilizan grandes empresas y gobiernos. Linux también tiene fallos, advierte Microsoft, pero son menos llamativos porque su cuota de mercado es menor. Los defensores de Linux dicen que, debido a que su código es abierto, la solución de sus problemas está también abierta a sus cientos de miles de programadores. Los agujeros de Windows sólo puede arreglarlos Microsoft.

Del desarrollo al 'parche'

¿En qué consiste concretamente el plan informática fiable? Microsoft asegura que ha trabajado en mejorar la seguridad de los productos en todas sus fases: cuando se diseña, cuando llega a las manos del usuario y cuando se le comunica que hay un fallo y que debe instalar un parche.

En la fase de creación, el correo de Bill Gates ya advertía a sus 8.500 ingenieros de cuál era la estrategia: si, decía, cuando estéis escribiendo el código os surge la duda de añadir nuevas funciones o parar y corregir un agujero de seguridad, no lo dudéis: parad. Microsoft ha invertido 200 millones de dólares en formar a sus programadores y ha tomado otra decisión: cada línea del código, de cada aplicación de la empresa, llevará a partir de ahora el nombre del programador que la escribió. Si se descubre un fallo, también se sabrá quién es el responsable.

Las aplicaciones serán también más cerradas por defecto. Y es que muchos usuarios no leen las intrucciones de un producto y pulsan el botón de siguiente paso sin saber realmente qué están instalando, ni cómo y dónde lo hacen. "Cada siguiente es una puerta trasera para un ataque", explica Sánchez.

Tratar de reducir al mínimo los fallos de seguridad en el desarrollo del producto no es suficiente, reconoce Microsoft. "La seguridad 100% no existe", dice Sánchez. El aumento constante del número de máquinas conectadas a Internet y la complejidad creciente de los porgramas incrementa también las posibilidades de ataques a estos sistemas, algunos de los cuales, dice Microsoft, no pueden preverse. Hay, por tanto, que informar de los fallos con celeridad y desarrollar los parches que lo solucionan. Microsoft Ibérica ha puesto en marcha, así, un teléfono de atención gratuita y una página web (microsoft.com/seguridad).

"Pero nuestro trabajo no acaba en desarrollar el parche, sino que tenemos que conseguir que el usuario lo instale", reconoce Sánchez. La actualización automática de los sistemas o la realización de cursos de formación son algunas de las iniciativas. "Al final, la seguridad de los sistemas es equivalente al interés de las personas que los operan", concluye Sánchez.

Ahora, un año después de la puesta en marcha de esta iniciativa, la pregunta es: ¿son más seguros los productos de Microsoft? "Sí, con reservas", dice Ian Williams. "Han facilitado mucho la instalación de parches, por ejemplo", explica. Steve Bittinger, analista de Gartner en EE UU, coincide en que la compañía ha demostrado "hacer progresos" en la gestión de los fallos.

Pero sigue habiendo problemas. El pasado enero, el virus SQL Slammer, escrito para la aplicación SQL de Microsoft, infectó a miles de empresas. Y esta misma semana se ha hecho público otro fallo crítico que afecta a Windows. "Ésta es una iniciativa a largo plazo, a diez años", explica Sánchez.

Williams y Bittinger coinciden: sólo sabremos si esta iniciativa funciona cuando Microsoft saque al mercado actualizaciones de sus productos, y puedan compararse sus fallos con los de los anteriores. Windows Server 2003, que estará en la calle en abril, será la primera prueba para saber si Microsoft está o no en camino de convertir los ordenadores en instrumentos realmente fiables.