Email a copy of 'Vista a fondo. VIII: ¿Es Windows Vista un sistema seguro?' to a friend
Cargando ...La respuesta a la pregunta es un no, claro. Pero esta respuesta tiene su explicación: en realidad, ningún sistema operativo o aplicación es completamente seguro, y hacer que un ‘monstruo’ como Vista sea seguro no es tarea fácil.
De hecho, uno de los motivos obvios – y eso no es discutible – por los que los sistemas Windows son acribillados con ataques de todo tipo es porque estos sistemas operativos están instalados en el 90% de las máquinas de todo el planeta. Así pues, habrá muchas más posibilidades de que un desarrollador trate de lidiar con vulnerabilidades en Windows – de las que además puede sacar más beneficio, sea cual sea el beneficio que tenga programar un virus – que con MacOS o con Linux.
Esa misma afirmación me recuerda la primera vez que tuve que tratar este tema: en unas conferencias en las que PC Actual colaboraba como entidad colaboradora en la Universidad de Huelva recuerdo haber dado una charla sobre el pasado, presente y futuro de Linux, y en la ronda de preguntas, alquien preguntó “¿Por qué en Linux no hay virus?”
“En realidad sí hay”, comenté, “pero supongo que mola más programarlos para Windows”. La respuesta – algo coloquial, lo admito – suscitó muchas risas, pero ya entonces era tan cierta como lo es ahora, si no más.
Por lo tanto, juzgar la seguridad en Vista es enfrentarse al que será el sistema operativo más atacado de toda la historia con mucha probabilidad. Y los esfuerzos de Microsoft en este apartado son notables, aunque haya que tener en cuenta que la implementación de estas soluciones no haya sido afortunada en algunos casos.
UAC, la polémica está servida
Si hay una tecnología que haya entrado en conflicto con el uso normal del PC por parte de los usuarios tradicionales de Windows, esa es la nueva UAC. El User Account Control es un mecanismo que trata de minimizar el efecto de código ‘peligroso’ – o al menos, sospechoso – sobre algunas operaciones de acceso a recursos del sistema.
Mediante esta tecnología el sistema hará que para realizar ciertas acciones, el usuario deba proporcionar sus credenciales como usuario con los privilegios necesarios.
Así, si utilizamos Vista desde una cuenta con derechos de administrador, al ejecutar ciertas operaciones simplemente se nos advertirá de que al hacerlo estaremos accediendo a recursos privilegiados. De hecho, los programas que dispongan de tal requisito aparecerán con la imagen de sus iconos modificada ya que sobre ella aparecerá un pequeño escudo que indicará tal situación.
Si por el contrario usamos Vista con una cuenta de usuario convencional, al tratar de realizar estas operaciones se nos pedirá el nombre de usuario y la contraseña de una cuenta que disponga de los privilegios de administrador.
La técnica no es nueva, ni mucho menos: los sistemas Un*x y cómo no, las distribuciones GNU/Linux llevan tiempo haciendo uso de esta estrategia, aunque su aplicación – quizá por la propia concepción de estos sistemas – es mucho más transparente. En MacOS también existe este tipo de control, pero Microsoft no ha comenzado con buen pie, ya que a menudo UAC es una característica demasiado intrusiva: prácticamente para cualquier cosa aparecerá la ventanita ‘de marras’, lo que interrumpe el flujo de trabajo e incomoda a los usuarios.
Afortunadamente, esta situación, que era especialmente preocupante en las versiones previas de Vista (Betas y RCs) se ha relajado con la versión definitiva, que sigue manteniendo el uso de UAC, pero con apariciones menos frecuentes.
De hecho, cualquier usuario puede desactivar esta característica fácilmente, aunque claro, con ello se expone a que ciertos programas realicen cambios que podrán comprometer la seguridad, privacidad o estabilidad del sistema. Lo explican en esta página, donde además dan algunos detalles más sobre este polémico mecanismo. También es posible eliminar solo el mensaje de advertencia que aparece en las cuentas con derechos de administrador, como explican aquí. No obstante, volvemos a señalar el peligro que esto comporta, ya que la característica está pensada para evitar los efectos que podría tener el acceso a recursos privilegiados del sistema por parte de aplicaciones y documentos de cualquier tipo.
PatchGuard no gusta a las empresas antivirus
Durante las semanas previas al lanzamiento de Windows Vista aparecieron diferentes quejas por parte de desarrolladores de software de seguridad. Firmas como McAfee o Symantec se quejaban de que Microsoft no les había proporcionado las APIs necesarias para permitir que sus programas de seguridad fueran compatibles con el nuevo sistema operativo, y pedían que la tecnología PatchGuard fuera eliminada de Windows Vista.
PatchGuard es parte del sistema denominado KPP (Kernel Patch Protection), y está incluido en las versiones de 64 bits de Vista (y solo en ellas) para evitar la intrusión de rootkits y otros tipos de malware que afectar a la ejecución en modo kernel. Las discusiones con Microsoft fueron largas y tensas, pero finalmente ambas partes lograron llegar a un acuerdo: Microsoft no eliminaría el uso de PatchGuard, pero proporcionaría las APIs necesarias para la integración de las suites de seguridad de estas empresas en Windows Vista.
Esta medida relajó los ánimos tras el descubrimiento de empresas como Autenthium, que logró sobrepasar los mecanismos de seguridad impuestos por PatchGuard para poder mantener la compatibilidad con sus aplicaciones, y parece que las APIs de Microsoft han puesto fin a la controversia.
Estas medidas permitirán que las versiones de 64 bits de Windows Vista sean más difíciles de hackear que las de 32 gracias al conjunto de tecnologías implementadas en el plan KPP, del que podéis obtener más información aquí. La razón de su soporte en sistemas de 64 bits y no en los de 32 es simple: son las extensiones de 64 bits de los nuevos procesadores y de sus nuevas arquitecturas (AMD64 y EM64T) las que posibilitan tal tipo de protección que tiene un riesgo, la compatibilidad de algunas aplicaciones, que ha sido precisamente el motivo del disgusto – ya resuelto, afortunadamente – de empresas de seguridad como McAfee o Symantec.
Bitlocker, un paso hacia el futuro del cifrado
Ya hablé de esta característica en la cuarta entrega de esta serie, y tal y como indican en la propia base de conocimiento de Microsoft TechNet, la idea es la de permitir un cifrado de la partición de sistema de Windows Vista. Cuidado: de la partición completa, no tan solo de algunas carpetas y ficheros que nosotros elijamos.
La opción está disponible en las versiones Business, Enterprise y Ultimate de Vista, y para activarla necesitaremos cumplir una serie de requisitos realmente complejos: esta plataforma está pensada para su uso en máquinas que tengan soporte TPM (Trusted Platform Module) integrado. Si no es el caso (algunos fabricantes lo integran en los portátiles) podremos usar una llave USB que será la encargada de almacenar la clave de seguridad que permitirá arrancar el PC. Es un mecanismo más engorroso, pero igualmente válido, aunque aún así necesitaremos disponer de soporte TPM v1.2 en la BIOS del sistema de nuestra placa madre.
No será el único paso previo: tal y como explican en webs como ésta, la activación de esta característica está sujeta al uso de al menos dos particiones, una de ellas de arranque, y a no ser que estemos instalando BitLocker nada más haber instalado Vista, también será conveniente hacer una copia de seguridad de la partición que vamos a cifrar con esta tecnología.
Si seguimos el proceso al completo, podemos estar seguros de dos cosas. Uno, que hemos pasado a un nivel superior de conocimiento :-). Y dos, que nuestro equipo portátil o sobremesa estará protegido frente a posibles ‘cotilleos’ de datos con una clave realmente segura. O al menos esa es la teoría, porque como era de esperar, siempre hay rumores sobre vulnerabilidades que han permitido descubrir claves de BitLocker, pero nada se ha confirmado y por lo que sabemos este mecanismo de cifrado es mucho más completo que EFS.
Y es que EFS sigue existiendo, claro, pero esta alternativa de cifrado, más “de andar por casa” seguirá permitiéndonos aplicar una capa de cifrado a nuestros datos en particiones distintas a la partición de sistema si así lo deseamos. No hay grandes diferencias con su aplicación en Windows XP, pero como ya comentamos en el pasado capítulo IV, en WinHEC 2006, la conferencia para desarrolladores de Windows, se comentó la existencia de un mecanismo capaz de aplicar BitLocker en otras particiones que no fueran la de sistema en ciertas ediciones.
No obstante, la complejidad de instalación de BitLocker parece haberse reducido gracias a la reciente aparición de la llamada BitLocker Drive Preparation Tool, que evita el engorro de crear esas particulares particiones. También se ha proporcionado el servicio llamado Secure Online Key Backup, que permitirá que almacenemos nuestra clave para BitLocker en un servidor seguro y remoto de forma que podamos recuperarla en caso de pérdida. Ambas opciones están disponibles gracias a los llamados Windows Vista Ultimate Extras, una serie de programas que gradualmente irán mejorando la experiencia de usuario y las características que ofrece el sistema operativo de Microsoft.
Windows Defender, la línea defensiva de Redmond
La solución anti-spyware y anti-malware de Microsoft se denomina Windows Defender, y es una de las características de seguridad que aparecen como novedad en el sistema operativo de Microsoft. La herramienta trabaja en segundo plano, analizando la posible presencia de códigos maliciosos de todo tipo, y avisándonos en caso de la detección de alguno de ellos.
Además de ese tipo de programas, Defender evalua el estado del Registro del Sistema y de los parámetros de Internet Explorer, y actualiza cada cierto tiempo sus ficheros de identificación de códigos de este tipo para estar al día de las amenazas que se pueden presentar en el PC.
¿Es Windows Firewall eficiente?
Como el resto de herramientas de seguridad, el cortafuegos de Windows ha sido a menudo criticado por no cumplir con ciertos requisitos mínimos que otros programas sí cumplían. Es evidente que existen aplicaciones de terceras partes que en esta y otras facetas disponen de una mayor reputación, pero la presencia del Firewall de Windows es, como mínimo, una garantía de que se minimizarán los efectos de las posibles intrusiones en el sistema.
Este componente se puso de moda con el Service Pack 2 de Microsoft Windows XP, y desde entonces se ha convertido en una primera barrera defensiva, aunque también ha traído problemas a la hora de utilizar ciertos programas que se conectaban a la red de redes, o incluso en tareas tan simples como la mera compartición de ficheros en red.
Centro de Seguridad de Windows
Al igual que Windows Firewall, el Centro de Seguridad de Windows representa una pequeña evolución de ese mismo componente que entró a formar parte del elenco de soluciones de seguridad de Microsoft con la llegada del SP2 en Windows XP.
Y como en aquel caso, esta aplicación permitirá controlar las opciones de seguridad del sistema y gestionar el cortafuegos, las actualizaciones automáticas, las opciones de Windows Defender, las del sistema UAC, o la protección contra malware y virus. En este último caso, aunque Windows no proporciona propia, es conveniente avisarle de que ya nos encargamos nosotros de ese tema con aplicaciones de terceras partes
Actualizaciones: éramos pocos…
No nos extenderemos demasiado con un tema que es igualmente problemático para muchos usuarios de sistemas operativos Windows: las actualizaciones automáticas prometen mantener nuestro sistema al día, pero a menudo también hacen que los usuarios noveles se encuentren con opciones que en realidad ni habían pedido ni querían.
Es lo que ha ocurrido recientemente con Windows XP y con la llegada de Internet Explorer 7: la descarga e instalación del nuevo navegador se realizaba a través de este servicio, y si el usuario lo tenía activado sin comprobación previa, de repente se encontraba con que su versión de Internet Explorer ya no estaba instalada y no podía volver a ella.
Esa misma situación se presenta en Windows Vista, y aunque la herramienta es perfectamente funcional, no estoy de acuerdo con su activación por defecto en el modo ‘ni te pregunto, ya me ocupo yo de todo’. Es obvio que los usuarios noveles no ganarán mucho al ir teniendo que confirmar qué quieren actualizar y qué no, pero lo importante es cederle el control al usuario, no al sistema. Si así lo deseamos, siempre podremos cambiar esa preferencia, así que os recomiendo que uno de los primeros cambios en Vista sea precisamente el de cambiar el modo de funcionamiento de las actualizaciones automáticas.
Evidentemente esas críticas no quitan el hecho de que como dice Thurrot, “en Windows Vista, Windows Update ha completado el ciclo”. Su evolución desde la aparición en Windows 98 ha ido permitiendo mejoras como las de esta última edición en las que Update es una aplicación más que además puede ser utilizada para estar al tanto de aplicaciones que no son de Microsoft.
Conclusiones
Como comentaba al principio del artículo, Windows Vista no es un sistema seguro, pero ninguno lo es. No obstante, las mejoras realizadas en distintos apartados hacen pensar que al menos se trata de un sistema que hace todo lo que puede por evitar posibles intrusiones. Pero en buena parte de los casos, el usuario también tendrá que poner un poco de su parte: las herramientas – buenas o malas – están ahí, pero desactivarlas para evitar posibles mensajes de advertencia o ralentizaciones del sistema – algo que hacen muchos usuarios – no es una buena política si queremos que la seguridad en Windows haga su trabajo.
Aún así, afortundamente existen muchas más opciones en este terreno, pero no os engañéis: ninguna de ellas es perfecta.
vINQulos
Microsoft System Integrity Team Blog
Vista Secuity Demo Video (27 minutos aprox.)
Windows Vista Security Blog
BitLocker Security on Windows Vista (Vídeo, MSDN Channel9, 36 minutos aprox.)
Ver también
Vista a fondo. I: Introducción
Vista a fondo. II: Instalación
Vista a fondo. III: Una nueva interfaz
Vista a fondo. IV: El Sistema de Ficheros
Vista a fondo. V: Ocio digital a tu alcance
Vista a fondo. VI: Ofimática a tu alcance
Vista a fondo. VII: Cómo aderezar un Sistema Operativo
Vista a fondo. IX: Pensando en el futuro