Vigilancia de seguridadContraseñas y tarjetas de crédito, 3ª parte

Jesper M. Johansson

Contenido

Sobrecarga de tecnologías de actualización
Mensajes incoherentes sobre seguridad
La clave está en las casillas de verificación
Una llamada a las armas

En los dos últimos números de TechNet Magazine he hablado sobre la forma en que los profesionales de la seguridad y el sector de la informática en general confunden a los consumidores y, en realidad, entorpecen el esfuerzo realizado para conseguir una seguridad eficaz. En las dos primeras partes de esta serie me centré en problemas como las soluciones que ofrecen información incorrecta a los consumidores, sobrecargan el

flujo de trabajo del inicio de sesión y enseñan comportamientos incorrectos. Hasta ahora he mostrado muchos ejemplos diferentes sobre cómo el sector, en su afán por parecer preocupado por la seguridad del consumidor, lo que ha hecho es empeorar la situación mucho más de lo necesario. En esta tercera y última parte voy a explicar cómo algunas de las tecnologías más importantes a disposición de los consumidores no están cumpliendo las expectativas que los consumidores debieran tener respecto a esas soluciones. Todo ello culmina en mi llamada a las armas.

Sobrecarga de tecnologías de actualización

Uno de los principios básicos (requisito imprescindible, de hecho) para permanecer seguro electrónicamente es mantener actualizado todo el software. Casi cada proveedor principal de software ahora tiene algún tipo de mecanismo semiautomático para mantener por lo menos parte de su software actualizado. Sin embargo, no es así de sencillo.

Primero, cuanto más software se tiene, más software se tiene que actualizar. Y cuantos más proveedores sean de los que obtiene software, más serán los mecanismos de actualización con los que tendrá que trabajar. Esto es un factor de confusión.

Por ejemplo, si deja los valores predeterminados, Internet Explorer® se actualizará solo. Pero Internet Explorer en realidad es un contenedor para otras tecnologías. La repercusión posible de eso se demostró en la conferencia CanSecWest en 2008, cuando Shane Macaulay usó una combinación de vulnerabilidades en Java y Adobe Flash para piratear un Mac. (En el momento de escribir este artículo no se conocían muchos detalles, ya que el defecto no se había divulgado.) En todo caso, mi argumento es que ninguna de estas tecnologías es un componente integrado y, sin embargo, las dos están disponibles en la mayoría de equipos porque se usan ampliamente en Internet. Ambas son un poco complicadas de mantener actualizadas; cada una tiene un mecanismo de actualización automático, pero ninguno de los dos se activa muy a menudo.

Además, la mayoría de usuarios finales no se dan cuenta de que las tecnologías están ahí y que necesitan actualizarse. En muchos casos, estas tecnologías se incluyeron en la imagen OEM del equipo que, a ojos del consumidor, no se distingue del sistema operativo. Por lo que respecta al usuario final, cuando Windows® Update dice que no hay actualizaciones, es que no hay actualizaciones.

El segundo problema es que los mecanismos de actualización suelen ser más complicados de lo necesario. Cualquier mecanismo de actualización que no tenga un modo completamente automático es probable que no se use mucho, porque los usuarios normalmente ignoran que deben ejecutar la herramienta de actualización. Además, en la mayoría de casos, el usuario debe ser administrador para instalar las actualizaciones. Y en una situación aún peor, el usuario debe ser administrador sólo para que se le notifique que hay una actualización disponible.

Por último, es cada vez más común que los proveedores usen tecnologías de actualización de software que implementan software que no tiene nada que ver con el instalado por el usuario, como barras de herramientas, etc. Las tecnologías de actualización de software han pasado de estar pensadas de forma muy específica para implementar actualizaciones de software a ser una manera de distribuir software adicional.

Dos casos muy visibles de esto son el servicio Microsoft® Windows Update (que se muestra en la figura 1) y Apple Software Update (que se muestra en la figura 2). Tanto Apple como Microsoft han elegido usar sus mecanismos de actualización no sólo actualizar software sino también para implementar software nuevo que el usuario no instaló originalmente.

Figura 1 Uso de Windows Update para implementar Silverlight (haga clic en la imagen para ampliarla)

Figura 2 Uso de Apple Software Update para distribuir Safari (haga clic en la imagen para ampliarla)

En el caso de Apple, se ofrece tanto iTunes como Safari aunque sólo se tenga instalado QuickTime. Es interesante destacar que están todos seleccionados de forma predeterminada.

En el caso de Windows Update, el último software nuevo implementado con el servicio de actualización es Silverlight™. Microsoft ha usado esta técnica en el pasado para distribuir software nuevo. Microsoft al menos no selecciona de forma predeterminada la instalación del software nuevo.

Este enfoque, distribuir software nuevo a través de un mecanismo de actualización, causa dos problemas a los usuarios. En primer lugar, muchos terminarán teniendo más software en su equipo que al principio. Como sabe, todo software de cualquier tipo tiene errores y algunos de esos errores pueden terminar siendo posibles vulnerabilidades de seguridad. En definitiva, algunas de esas vulnerabilidades se usarán en algún tipo de ataque. Como resultado, algunos usuarios serán atacados a través de software que no necesitan ni usan, pero que se implementó en el equipo a través de un mecanismo de actualización de software.

Otro efecto es que los usuarios pueden hacerse una idea equivocada acerca del valor de los mecanismos de actualización de software. Si los usuarios descubren que los mecanismos de actualización de software se usan para implementar software nuevo, en lugar de para actualizar, pueden llegar a verlos como un fastidio y dejar de usarlos. Imagínese cómo debe sentirse un usuario al ser atacado a través de una vulnerabilidad que proviene de un programa que nunca usa, pero que recibió a través de un mecanismo de actualización de software.

Hay pocas cosas más peligrosas para el mantenimiento y la seguridad del ecosistema tecnológico que los usuarios que pierden la confianza en las tecnologías que deben mantenerlos protegidos. Una vez que los usuarios pierden esa confianza, esas tecnologías empezarán a rechazarse y probablemente dejarán de usarse completamente. Si tecnologías críticas para la protección, como es el caso de las tecnologías de actualización, dejan de verse con buenos ojos, todo el ecosistema tecnológico estará en peligro. Proteger este ecosistema es el motivo por el que Microsoft distribuye actualizaciones de seguridad incluso en equipos que se sabe que ejecutan software pirateado.

En comparación, respeto sinceramente la interfaz de actualizaciones clara y directa de Mozilla Firefox, que se muestra en la figura 3. Espero sinceramente que Mozilla continúe evitando la tentación de distribuir software adicional a través de su herramienta de actualización de software.

Figura 3 Interfaz de actualización de software para Firefox, una de las más claras del sector (haga clic en la imagen para ampliarla)

Mensajes incoherentes sobre seguridad

Sería bueno que el sector se decidiera a transmitir un mensaje común a los consumidores. Aunque la competencia en el sector es esencial, los consumidores necesitan saber lo que la seguridad debería significar para ellos. Por desgracia, no pueden hacerlo si el sector sigue enviando mensajes contradictorios. Francamente, me conformaría con que las empresas fueran coherentes en sus propios mensajes.

Aunque el sector probablemente nunca se decidirá por un mensaje común, por lo menos es necesaria la coherencia y la honradez en las comunicaciones. Dada la importancia crítica de asegurarse de que los clientes continúen confiando en las tecnologías de seguridad, es necesario que el sector en su totalidad mejore su modo de actuar.

De forma similar, también nosotros necesitamos preguntarnos qué es lo que ofrece un valor real hoy día. Por ejemplo, no creo que el software antivirus sea hoy en día tan eficaz ni vital como el sector puede querer hacernos creer. Pongamos por ejemplo el equipo que mi hijo de siete años usa y el equipo de mi cocina. Ambos tienen instalado software antivirus y en los tres años desde que se instalaron, ninguno ha mostrado alarma de ningún tipo. No estoy diciendo que se deba abandonar el software antivirus (en este momento, es un componente que forma parte del núcleo del ecosistema tecnológico). Está claro que si elimináramos de repente todo el software antivirus, los atacantes se aprovecharían rápidamente de ello y empezaríamos a ver más infecciones.

La clave está en que el sector necesita pensar en las funciones que los usuarios necesitan realmente en sus productos de seguridad, la eficacia de estas características y la forma en que las compañías pueden comunicar estas necesidades y valores a los consumidores. La situación actual es que los usuarios reciben demasiados mensajes contradictorios, exagerados y, a menudo, falsos acerca de la seguridad.

La clave está en las casillas de verificación

Un ejemplo, el sector del software de seguridad está centrado en sus conjuntos de programas. Hoy en día, el software de seguridad se distribuye casi exclusivamente en forma de agrupaciones de características aparentemente no relacionadas. Y prácticamente no hay información sobre cuáles de esas características necesitan realmente los usuarios.

Esto parece tener como resultado una carrera para ver quién marca más casillas de verificación. Aunque las listas de comprobación son una manera conveniente de comparar productos, también pueden ocasionar la inclusión de características que no son necesarias, deseables y que no tienen ningún sentido. Las figuras 4 a 7 muestran cuatro listas diferentes de marcas de verificación de cuatro proveedores de software de seguridad diferentes. ¿Es seguro asumir que el producto con 17 marcas de verificación es superior a uno con sólo 10 marcas?

Realmente estas cifras me parecen bastante divertidas. En la figura 4, el producto recibió una marca por ser una versión nueva. Y el producto de la figura 5 recibe una marca porque, según lo que dice la compañía, "detiene ataques de sitios web infames". El producto de la figura 6 obtiene puntos extra porque "protege a los niños conectados". Obviamente, nadie desea un producto que no puede proteger a los niños. El ganador, sin embargo, obtiene el premio a la creatividad por incluir características como la limpieza del registro y la desfragmentación del disco duro en un conjunto de seguridad. Lo primero no se suele necesitar y lo último ya está integrado en el sistema operativo. De hecho, el sistema operativo Windows ya incluye soluciones para 15 de las 17 marcas que se muestran en la figura 7.

Figura 4 Este producto de gama alta sólo tiene 10 marcas de verificación (haga clic en la imagen para ampliarla)

Figura 5 Este producto con 11 marcas debe ser mejor (haga clic en la imagen para ampliarla)

Figura 6 Espere, este tiene 12 marcas (haga clic en la imagen para ampliarla)

Figura 7 Pero este producto con 17 marcas debe ser la mejor solución, ¿no? (haga clic en la imagen para ampliarla)

Aquí podemos apreciar algunas tendencias poco tranquilizadoras. Estos productos no sólo duplican la funcionalidad que ya está incluida en el sistema operativo (omitiendo ese hecho en su publicidad), sino que también hacen afirmaciones completamente falsas. Por ejemplo, ningún software de seguridad del mundo puede detener realmente los ataques de ninguna parte, sólo pueden ayudar a evitarlos. Tampoco hay ningún producto que pueda ocultar realmente su presencia de los atacantes.

El problema es que el negocio de la seguridad del software se ha basado en gran parte en proteger a los usuarios de vulnerabilidades provocadas por productos creados por otros proveedores. Pero esos proveedores mejoran constantemente para proteger a sus propios clientes y, como resultado, el sector del software de seguridad ve amenazado su modelo de negocio. El sector del software de seguridad tiene realmente mucho que ofrecer a medida que surgen nuevos riesgos, pero los proveedores necesitan ayudar a los clientes a administrar el riesgo y no simplemente protegerlos de amenazas que realmente ya no existen.

Una llamada a las armas

Si hay una cosa que me gustaría haber transmitido a los lectores de esta serie de tres artículos es que como sector necesitamos estar al mismo nivel que nuestros usuarios y clientes. Necesitamos explicar los riesgos y la forma como los usuarios pueden resolverlos. Y, por último, necesitamos empezar a equipar a la gente para que se protejan ellos mismos.

Lo que más me preocupa de todas estas "soluciones" es que hay una posibilidad grave de que a largo plazo sean responsables de degradar la seguridad. Si los usuarios, e incluso administradores de TI, creen realmente que estos productos van a resolver riesgos de seguridad verdaderos, especialmente todos los riesgos que dicen engañosamente resolver, podemos perder la oportunidad de enseñar a la gente a protegerse a ellos mismos realmente.

Tomemos como ejemplo el sistema de autenticación por contraseñas. Si los usuarios creen que los complementos deficientes para los sistemas basados en autenticación de contraseña de los que hablé en la primera parte de esta serie realmente los protegen, pasarán a relajarse y a usar contraseñas aún más deficientes. En los peores casos que he descrito en esta serie, la tecnología en realidad obliga al usuario a usar una seguridad más deficiente de la que se hubiera usado si la tecnología nueva no se hubiera implementado. Esto significa que cuando los usuarios malintencionados averigüen cómo derrotar estos sistemas, cosa que a menudo no resulta complicada, estaremos en una condición todavía peor que la actual. Eso podría provocar un problema de confianza considerable que podría hacer que la gente deje de usar las soluciones con un valor auténtico.

Necesitamos actuar ahora para proteger el ecosistema tecnológico que sostiene nuestros negocios. Evidentemente, es necesario que apoyemos la innovación, pero debemos evitar caer en la trampa de la innovación por la innovación, ya que podría interponerse en el análisis de los riesgos reales. De lo contrario, tendríamos una seguridad ficticia que, al final, terminaría estallándonos en las manos.

Lo mismo puede decirse de los otros ejemplos que he mencionado. Tomemos como ejemplo la parafernalia gráfica inútil de la seguridad. No hace ningún bien a los usuarios, les proporciona un falso sentido de la seguridad y permite que los proveedores de servicio en línea realicen optimizaciones que perjudican de forma indirecta a los usuarios. Mientras tanto, el costo neto para proporcionar información apropiada a los usuarios sería de sólo algunos miles de dólares, en los casos más extremos, tal vez de decenas de miles. ¿Es realmente demasiado pedir que los proveedores gasten esa pequeña cantidad de dinero en proteger a sus clientes y su negocio?

Esto tiene muchas implicaciones. Primero, debemos terminar con la percepción de que los usuarios son incapaces de tomar decisiones y que se debe evitar que lo hagan. Los usuarios no son incapaces de aprender para tomar decisiones. Después de todo, estos usuarios han tomado ya muchas decisiones, como la compra del equipo, usar su sitio o adquirir uno de sus productos o servicios. De igual forma que la gente necesita aprender a manejar un coche sin riesgos, también deben aprender a usar un equipo sin riesgos. Hoy en día, los ataques se dirigen a los usuarios individuales y no se puede depender de la tecnología para tomar decisiones. En lugar de ello, las tecnologías de seguridad deben ser sistemas de soporte técnico de decisión y ofrecer la información correcta en el momento oportuno para permitir al usuario tomar decisiones inteligentes.

Algunas de las peores interfaces de usuario del mundo proceden de soluciones de seguridad porque las aplicaciones se han diseñado para ocultar cualquier clase de toma de decisiones por parte del usuario o para transferir todos los datos disponibles (de forma bastante hostil) al usuario. Ningún enfoque funciona. El primero pone en peligro a los usuarios porque no se puede depender en la tecnología para tomar la decisión correcta. Y si se percibe que la tecnología dificulta los objetivos empresariales del usuario, no tardará mucho en ser deshabilitada. El segundo enfoque, por otro lado, falla porque la gente no desea que se la moleste con direcciones IP, ID de proceso, ni con otros datos que no tienen sentido para ellos. Sólo quieren saber lo que el equipo hace con sus contraseñas y tarjetas de crédito. Después de todo, en eso consiste realmente la seguridad.

Jesper M. Johansson es un arquitecto de software que trabaja en el campo del software de seguridad y colabora como editor en TechNet Magazine. Posee un doctorado en sistemas de información de administración, más de 20 años de experiencia en el ámbito de la seguridad y es un MVP de Microsoft en seguridad empresarial. Su último libro es Windows Server 2008 Security Resource Kit.