La ciberinseguridad y Microsoft

PUBLICADO EL 24 DE septiembre por un grupo de conocidos críticos de Microsoft, el informe CiberInseguridad: el costo del monopolio sólo llamó ese día la atención de los especialistas. Los demás se despertaron el 26 al conocer que la empresa @stake había despedido a Daniel Geer su jefe de tecnología por haber contribuido al documento. La violencia de las reacciones apuntaba a una pieza importante y la explicación descansa en la simplicidad de la solución que propone.

El nombre de Geer ha sido eliminado del sitio de @stake y su dirección de correo bloqueada. La empresa que tiene co...

PUBLICADO EL 24 DE septiembre por un grupo de conocidos críticos de Microsoft, el informe CiberInseguridad: el costo del monopolio sólo llamó ese día la atención de los especialistas. Los demás se despertaron el 26 al conocer que la empresa @stake había despedido a Daniel Geer su jefe de tecnología por haber contribuido al documento. La violencia de las reacciones apuntaba a una pieza importante y la explicación descansa en la simplicidad de la solución que propone.

El nombre de Geer ha sido eliminado del sitio de @stake y su dirección de correo bloqueada. La empresa que tiene contratos con Microsoft precisó que el despido tenía efecto retroactivo al 23 de septiembre, un día antes de la publicación del informe.

"Los gobiernos no deben permitir que las infraestructuras o sectores esenciales para sus economías sigan el camino de la monocultura"

Para integrar todos sus programas, Microsoft tiene que agregar líneas de código cada vez más complejas. Y la complejidad es el primer enemigo de la seguridad

En otras círculos, Geer y sus amigos se han visto acusado de practicar una "retórica mercenaria" (pagada por los competidores de Microsoft) y su apelación a una reacción gubernamental ha sido calificada de "marxista". "Si no fuera verdad, no reaccionarían tan fuertemente", comentó Ed Black director de la Computer & Communications Industry Association, el grupo que difunde el informe.

Al concentrar sus ataques sobre la seguridad, los autores parecen haber dado en el blanco. Los monopolios ya no espantan a nadie, pero los estadounidenses son cada vez más sensibles a todo lo que puede ponerlos en peligro.

La mayoría de las críticas del informe son conocidas. La sociedad de Bill Gates goza de un monopolio sobre la informática diaria (y gana terreno en el campo de los servidores). Integra con profundidad creciente un sinnúmero de aplicaciones al sistema operativo (Windows). No divulga las informaciones que permitiría a otros desarrolladores participar con sus innovaciones para ampliar la diversidad (fuente de robustez).

Para integrar todos sus programas, los informáticos de Microsoft tienen que agregar líneas de código cada vez más complejas. Resulta que "la complejidad es el primer enemigo de la seguridad", por dos motivos: 1) "los sistemas complejos tienden a no ser bien entendidos por nadie", lo que vuelve más difícil su protección; 2) "el defensor tiene que prevenir todos los ataques posibles mientras el atacante apenas tiene que encontrar una forma de ataque no bloqueada".

Hasta los parches sistemáticamente ofrecidos por Microsoft no parecen constituir una solución. "Más allá de cierto umbral de complejidad, los parches se vuelven inadecuados y tal vez hasta contraproducentes", explica el informe. "Cuando la complejidad produce vulnerabilidad, agregar más códigos por el medio de parches tiende a exacerbar el problema".

El informe insiste en particular sobre los riesgos de "fallos en cascada", frecuentes cuando todas las computadoras de un sistema tienen las mismas vulnearabilidades. Establece una relación explícita con el mayor apagón de la historia de EEUU y Canadá, que tuvo lugar en agosto pasado cuando un problema en un punto de la infraestructura eléctrica contagió en cascada a casi la cuarta parte de la red.

Lo más peligroso, sin embargo para Microsoft es la simplicidad de la solución propuesta: que las instituciones diversifiquen su parque informativo. Nadie debería tener más del 50% de sus máquinas con un solo sistema operativo. "Los gobiernos no deben permitir que sectores de infraestructura o esenciales para sus economías sigan el camino de la monocultura", dice el informe, "y esto incluye el propio uso de la informática por el gobierno".

En claro, el informe invita las instituciones a que diversifiquen sus compras lo cual no puede ser del gusto de Bill Gates. En julio pasado, por ejemplo, la secretaría de seguridad interior firmó un contrato de cinco años y 90 millones de dólares para que Microsoft abastezca a sus 140.000 empleados con material suyo. No hacen falta ni leyes ni juicios. El informe propone una solución sencilla a un problema claramente expresado. Por esto resulta peligrosísimo... para Microsoft.