Un 'software' sin garantía
Cada día se descubren siete 'agujeros' en las aplicaciones de los fabricantes informáticos
Los programas de 'software' controlan aeropuertos, gestionan hospitales, diseñan edificios y cuadran contabilidades. Pero cada día se descubren siete nuevos agujeros en estas aplicaciones y, además, el 70% de estas vulnerabilidades son calificadas como "fáciles de explotar", según Symantec. ¿Es el 'software' un producto de mala calidad, en un eterno estado de prueba? Sus fabricantes dicen que no, pero reconocen que la responsabilidad de solucionar esos agujeros no debería recaer sobre los usuarios.
Los creadores de virus tardan sólo 10 días en descubrir los fallos de los programas y explotarlos. Hace cinco años, les llevaba meses
Cuando Microsoft anunció, en enero de 2002, que la seguridad de sus programas se convertía en su máxima prioridad, Bill Gates informó a sus ingenieros de que, si en el proceso de desarrollo de un producto, se encontraban en la encrucijada de añadir una nueva función o solucionar un agujero, debían solucionar el agujero.
La correlación que existe entre las muchas posibilidades de un programa y su consecuente falta de seguridad es una discusión eterna de este negocio. En un mercado de alta competencia, los fabricantes de aplicaciones deciden a menudo publicar productos en fase beta [en prueba]. El problema es que, en las licencias de uso, la mayor parte de las compañía no se hace responsable de esos fallos. Y el resultados es toda una industria que vive de solucionarlos.
¿Está el software preparado para gestionar un mundo en red, o es demasiado vulnerable? Un programa, explica Joaquín Reixa, de Symantec, "tiene millones de líneas de código. Pedirle que no tenga fallos es imposible". "Ningún otro producto es tan complejo", confirma Carlos Jiménez, de Secuware.
Lo que subyace en el fondo de este problema es la concepción del ordenador personal como una máquina con muchas posibilidades. Santiago Roncero, de Trend Micro, explica: "Un avión no falla porque sólo vuela. No intenta, además, tratar fotos, bajar música, navegar por Internet y chatear con los amigos". Por eso, hace 15 años, cuando la informática era dedicada, la seguridad era muy superior: el PC era una máquina que sólo servía para una cosa y, además, no estaba conectada a Internet.
"Los fabricantes de software nos hemos dedicado durante muchos años", reconoce Suárez, de Network Associates, "a abrir los programas, incluir más soluciones, más servicios, más posibilidades de comunicación. En este proceso, hemos dejado muchos huecos abiertos. Ahora, se trata de asegurar todo eso que estábamos tratando de abrir". Otro problema es el reloj. En 1999, un creador de virus tardaba unos 281 días en diseñar un virus para explotar un agujero de seguridad después de que éste se comunicara. Ahora, sólo necesita 10 días, según la consultora Foundstone.
¿No sería más lógico que las compañías de antivirus trabajaran con los fabricantes de software, en lugar de dejar en manos de los usuarios la instalación de los parches y la compra de antivirus? Las compañías de seguridad explican que ya lo hacen y que, además, trabajan con asociaciones que les obligan a compartir los fallos que descubran. Además, la mayor parte de las grandes compañías de software trabajan con ingenieros especializados en seguridad que participan en el diseño de los programas. Pero la pregunta original sigue en el aire: ¿tienen los usuarios que hacerse cargo de esos fallos? Nadie contesta en voz alta. En voz baja, muchos ejecutivos del sector reconocen que debería garantizarse por escrito la calidad del producto.
Correo basura, programas espía y doble personalidad
No sólo de virus viven las compañías de seguridad. En los últimos meses ha crecido la preocupación por otros tres problemas de seguridad, todos ellos con denominaciones en inglés.
'Spam'. El correo electrónico no deseado es una pesadilla para usuarios domésticos y empresas. Los anuncios de viagra, sexo gratis o hipotecas baratas inundan las buzones de correo electrónico por todo el mundo. Dos de cada tres mensajes de correo enviados en abril eran spam, según MessageLabs. Ya existen filtros para evitarlo (descargables en www.alerta-antivirus.es). Un consejo: nunca hay que responder al mensaje de spam para pedir que nos borren. Confirmaríamos que nuestra dirección es activa.
'Spyware'. El software espía se instala en los ordenadores de los usuarios que visitan determinadas páginas. El objetivo es registrar datos sobre su navegación, en el mejor de los casos, o robarle información, en el peor. Una versión comercial del spyware es el adware, que modifica los anuncios que ve el internauta cuando accede a una página web, sustituyéndolos por los de la competencia.
'Phising'. La última moda en ataques cibernético es la suplantación de personalidad. Al usuario le llega un correo que aparenta ser de un banco o comercio y, cuando visita la web (muy similar a la original), se le informa de que debe introducir sus datos personales y claves. En el último caso, descubierto esta misma semana, hackers de EE UU enviaron más de 100.000 correos para estafar a los clientes del Banco Popular.
Sobre la firma
