Como en sociología, en materia de seguridad existen aquellos que hacen énfasis en el individuo (el usuario) y otros que inclinan la balanza hacia las determinaciones estructurales (el sistema operativo). El primero de ellos es el caso de este artículo de eWeek que me llevó a escribir esa respuesta.
En realidad, el individuo actúa condicionado por la estructura; esto quiere decir que, si bien tiene cierto grado de autonomía, su margen de acción es limitado y condicionado por la estructura. En lo que a seguridad respecta, ocurre lo mismo. Si bien el usuario tiene parte de responsabilidad en cuanto a la seguridad del sistema, existen condicionamientos estructurales que limitan y condicionan el accionar de los usuarios.
Esta reflexión cuasi-filosófica viene al caso porque es muy común escuchar entre los defensores de Windows que, en realidad, toda la culpa es de los usuarios y/o de los programas de terceros (que vienen llenos de agujeros de seguridad). La pregunta que me surje es: ¿ese "analfabetismo" informático acaso no es incentivado y provocado por Microsoft? ¿acusar a los desarrolladores de programas de terceros no es realmente un chivo expiatorio? La verdadera pregunta interesante de contestar es: ¿por qué esto no sucede en Linux? Veamos cuáles son los 10 argumentos más utilizados por Microsoft y sus defensores para plantear que las fallas de seguridad de Windows, en verdad, no son culpa de Microsoft. La culpa siempre la tienen los otros...
1. Agujeros de seguridad de aplicaciones de terceros
Las aplicaciones de terceros pueden causar brotes de seguridad importantes en una PC con Windows. Los programas de otros fabricantes no siempre cuentan con medidas de seguridad adecuadas para garantizar que los datos se mantengan seguros. Para mal de males, las aplicaciones no siempre se actualizan con la frecuencia necesaria. Eso es un problema. Los hackers son plenamente conscientes de que algunos programas son más fáciles de romper que otros, por lo que atacan a los blancos más fáciles.
The Linux way:
No me deja de llamar la atención lo ingratos que son los muchachos de Microsoft: para limpiar su prestigio le echen la culpa a los desarrolladores de programas para Windows. No es que Windows sea inseguro, sino que los programas que otras empresas desarrollan y que corren en Windows tienen muchos agujeros de seguridad. La verdad es que, en todo caso, esa respuesta sigue esquivando la pregunta: ¿por qué esos programas (para Windows) tienen más agujeros de seguridad? ¿Acaso los programadores de programas para Windows son unos idiotas? No, el problema está en el modo en que se escriben los programas más populares de Windows, siendo casi todos software privativo. Por otra parte, está la cuestión de que, en Linux, los programas se actualizan a través del sistema de repositorios.
2. Software desactualizado
Generalmente, las aplicaciones de otros fabricantes son actualizados por el propio desarrollador. Sólo hay un problema: los usuarios no siempre actualizan los programas. Todos hemos estado allí. Estamos en medio de algo importante y un programa que acabamos de abrir nos pide que lo actualicemos. En lugar de esperar a la actualización y, potencialmente, ser obligado a reiniciar el equipo, lo dejamos para otro momento. Esto puede parecer la mejor opción en ese momento, pero realmente no lo es. Si la actualización era una revisión de seguridad, estaríamos poniendo en riesgo nuestra compu por una cantidad de tiempo aún mayor de lo que deberíamos. Si no actualizamos nuestro programas de terceros, no hay mucho que Microsoft puede hacer para protegernos.
The Linux way:
Las actualizaciones se realizan a través del sistema de repositorios. Esto tiene numerosas ventajas: se realiza en forma centralizada, desde una fuente segura, en segundo plano (sin interferir con lo que el usuario está haciendo, incluso cuando se trate de la actualización del programa que está usando) y generalmente no requiere que el usuario reinicie el sistema. Además, al haber sido construido en forma modular, Linux puede ser actualizado "por partes": no hace falta esperar a una actualización del kernel para corregir un bug del arranque, del entorno X, etc.
3. Antivirus y anti-spyware desactualizados
La ejecución de programas antivirus y anti-spyware que no esten totalmente al día es casi tan inútil como no correr nada en absoluto. En la medida en que se van descubriendo nuevos agujeros de seguridad, los fabricantes van lanzando actualizaciones de sus programas para mantener seguros los datos del usuario. Por desgracia, los proveedores no pueden obligar a los usuarios a actualizar sus programas. Así, un usuario que opta por esperar o cancelar la actualización se pone en riesgo de ser afectado por un problema que podría evitarse fácilmente con la ayuda de un sencillo parche. Es cierto, Microsoft debería haber hecho un mejor trabajo para hacer de Windows un SO más resistente a virus y spyware, pero también necesita algo de ayuda de los usuarios.
The Linux way:
Una de las primeras cosas que un usuario novel de Linux descubre es que no parece ser necesario usar un antivirus. Llama la atención porque, a pesar de ello, Linux es considerado un sistema mucho más seguro que Windows. La realidad parece indicar que los antivirus, si bien pueden ayudar a controlar o evitar algunos de los efectos de los programas malignos, no atacan las causas y condiciones que permiten su reproducción y masividad en los sistemas Windows. Además de que existen muchos menos programas malignos (virus, malware, etc.) para Linux, está demostrado que casi ninguno de ellos llega a comprometer seriamente el SO. Sé que puede resultar contra-intuitivo para un usuario de Windows pero ningún antivirus hace a tu SO más seguro. En todo caso, la necesidad de un antivirus revela los huecos y fallas de seguridad del SO anfitrión.
4. Los usuarios abren archivos adjuntos que no deberían abrir
Microsoft no debería ser culpado por un usuario que abre un archivo adjunto que él o ella no debe abrir. En otras palabras, no se puede culpar a Microsoft de la estupidez de los usuarios de Windows. Si alguien cree realmente que se ha ganado la lotería, que existe la fórmula mágica para agrandar sus partes pudendas, etc. se merece ser infectada por un virus. Todos sabemos que a menos que estemos esperando ese archivo adjunto proveniente, claro está, de un origen conocido, nunca se recomienda abrir archivos adjuntos. Durante años, los hackers han estado utilizando el correo electrónico para aprovecharse de los usuarios que nunca se enteraron de que abrir un archivo adjunto de correo electrónico de un remitente desconocido es una mala idea. Por mucho que los proveedores de seguridad y Microsoft han intentado aumentar la concienciación sobre esta cuestión, los usuarios simplemente no están escuchando.
The Linux way:
Ehh... no se puede ejecutar ningún archivo adjunto. Fácil. Para ejecutar un archivo, no basta con hacer "doble click". El usuario tendrá que guardarlo, darle permisos de ejecución y, recién ahí, podrá ejecutarlo. Por otra parte, gracias a la enorme comunidad que se construyó alrededor de Linux, sus usuarios son educados continuamente sobre los potenciales peligros de otorgar permisos de ejecución a programas recibidos de fuentes no confiables.
5. Los usuarios navegan por sitios peligrosos
En los últimos años, compañías como Google han ayudado a proteger a los usuarios para que naveguen sólo en sitios seguros. Pero eso no evita que los usuarios empedernidos usen Internet Explorer, Firefox o cualquier otro navegador para navegar en sitios que contienen archivos maliciosos. Asimismo, existen víctimas de ataques de phishing en sitios que se parecen a una página real, por ejemplo la de correo electrónico o una web bancaria, en la que los usuarios llenan sus datos creyendo que se trata de la página real, cuando en realidad no lo es. Un enorme número de personas siguen navegando por sitios que causan estragos en sus equipos o sus vidas. Esperemos que después de ser quemado una vez, estos idiotas aprenden la lección.
The Linux way:
Es muy difícil evitar que los usuarios naveguen por páginas con contenido malicioso, pero existen algunos aspectos estructurales que influyen en el accionar de los usuarios. En primer lugar, los usuarios Linux no tienen que buscar ni instalar programas "truchos", ni buscar cracks o seriales en páginas peligrosas. Además, los usuarios Linux rara vez están tan desesperados por remover el presunto virus como para bajarse e instalar cualquier supuesto "removedor" del virus desde fuentes inseguras o no confiables. En segundo lugar, los exploradores de internet que vienen por defecto en todas las distribuciones de Linux son mucho más seguros que el Internet Explorer.
6. ¿Dónde están todas las contraseñas?
Algunos usuarios hacen demasiado fácil para los hackers maliciosos conseguir acceso físico a sus equipos. Sin una contraseña para controlar el acceso a una máquina, cualquier persona puede sentarse en el escritorio de alguien, arrancar el PC y empezar a robar información confidencial. En la actualidad, las empresas de todo el mundo requieren que los usuarios protejan con contraseña sus máquinas, para que los criminales no puedan tener acceso a sus datos. ¿Por qué la gente no aplica esa lección a la protección de sus PCs hogareñas? Sí, podría ser un dolor que escribir una contraseña cada vez que la compu se "despierta", pero ayuda a mantener los datos confidenciales.
The Linux way:
Las distribuciones Linux vienen configuradas de tal modo que para realizar acciones potencialmente peligrosas se le pide la contraseña de administrador al usuario. Por último, casi todas bloquean el teclado luego de pasados unos minutos sin actividad. La limitación de los permisos de ejecución es el campo en el que las últimas versiones de Windows han realizado sendos progresos pero todavía están a años luz de Linux.
7. Las contraseñas están allí, pero ¿por qué son todas iguales?
Tener una contraseña es un gran primer paso, pero tener la misma contraseña para todos hace que tu sistema y la información almacenada tanto en tu sistema como en la web sea muy difícil de proteger. Puede ser muy cómodo pero no es muy seguro que digamos. Cualquier hacker luego de obtener una de tus constraseñas lo primero que va a hacer es probar si funciona en otro de los servicios que usás. Si es así, tendrá acceso a todo lo que él quiera. Las contraseñas deben ser duras de roer y varíar de un sitio a otro.
The Linux way:
En Linux todas las contraseñas se encriptan y almacenan en un Keyring. Para que las aplicaciones puedan acceder a estas contraseñas, es necesario introducir la contraseña principal de tu Keyring. De ese modo, no tenés que recordar miles de contraseñas, sólo una.
8. Correr en modo de administrador
Un error común es ejecutar Windows en modo administrador. Esto puede hacer que el uso de la PC sea más conveniente, pero también da acceso a hackers maliciosos para que hagan lo que quieran en el equipo. Algunos expertos en seguridad dicen que si la gente se acostumbrara a utilizar usuarios limitados, se podrían eliminar muchos de los problemas de seguridad que afectan actualmente al usuario promedio de Windows. Por su parte, Microsoft podría hacer un mejor trabajo de informar al público sobre los peligros del modo de administrador. Pero, de nuevo, si un usuario desea ejecutar como administrador, ¿qué puede hacer Microsoft realmente para detenerlo?
The Linux way:
Una vez más, los instaladores de las diferentes distribuciones Linux coinciden en una cosa: todos obligan a crear un usuario con servicios limitados, que será el usuario de la máquina, y obligan también a ingresar una contraseña de administrador. De ese modo, se puede iniciar sesión con un usuario corriente, con permisos de ejecución limitados, y dentro de ella, se podrán ejecutar algunas acciones potencialmente peligrosas sólo si antes se ingresa la contraseña del administrador (evitando así que haya que loguearse como administrador, etc.). Esta forma de hacer las cosas limita enormemente el potencial destructivo de un programa malicioso pero brinda al sistema una enorme flexibilidad.
9. Actualizaciones de Windows
Las actualizaciones de Windows podrían significar la diferencia entre la seguridad y un brote de seguridad en la computadora del usuario. Tan molestas como son, las actualizaciones de Windows son parte integral de la seguridad de tu compu. Cada vez que Microsoft lanza parches de su sistema operativo, los usuarios deben estar listos y dispuestos para actualizar Windows tan pronto como esta actualización está disponible. Si no, están propensos a ponerse en riesgo. Microsoft sólo puede recomendar que los usuarios descarguen una actualización de seguridad y proporcionar parches siempre que puede. Lo que los usuarios decidan hacer después depende de ellos.
The Linux way:
Como vimos, las actualizaciones en Linux son mucho más transparentes para el usuario. A eso se le suma el hecho de que, al ser un sistema modular, Linux puede ir actualizando sus partes sin tener que esperar a un "major update". Además, Linux es reconocido por lanzar actualizaciones y parches (incluidos los de seguridad) en forma más rápida que su contraparte de Redmond.
10. Educación
Es fácil culpar a Microsoft por la seguridad frente a problemas de usuarios, pero a veces, los usuarios tienen que darse cuenta fácilmente de que la educación podría ayudarlos a evitar muchos de los problemas que los afectan cotidianamente. Con la educación para una mejor seguridad, la red sería un lugar más seguro, gracias al menor número de usuarios que busquen ver sitios maliciosos. Abrir archivos adjuntos infectados sería menos preocupante, ya que los usuarios sabrian cómo lidiar con ellos. Con una mejor educación, habría, sin duda menos brotes, lo que significaría un entorno de trabajo más seguro para todos.
The Linux way:
Como vimos, muchos de los problemas que en Windows se consideran como una "falta de educación en materia de seguridad por parte de los usuarios" son también problemas estructurales provocadas por fallas del sistema. La combinación de ambos, hacen de Windows un sistema muy inseguro. En Linux, a diferencia de lo que se cree, no todos los usuarios son hackers, lo que está demostrado por la creciente popularidad de distros "para novatos" como Ubuntu y otras. No obstante, es cierto que existe una mayor concienciación en materia de seguridad, pero eso se debe a que Linux promociona una actitud activa por parte de los usuarios e incentiva su curiosidad para averiguar "cómo funcionan las cosas". En Windows, en cambio, se busca siempre la pasividad del usuario y el ocultamiento del verdadero funcionamiento de las cosas. Del mismo modo, no se hace nada por "educar" al usuario.
Síntesis.
Microsoft sin duda no es inocente de los problemas de seguridad que afectan a Windows o de su software. Pero no siempre tiene la culpa. Y es importante recordar eso. Esto es lo que dicen los "defensores" de Windows.
En verdad, el accionar de los usuarios no tiene lugar en el limbo ni puede considerarse ahistóricamente. Los usuarios de Windows actúan con cierta autonomía, pero siempre condicionados y limitados por las características del SO y fueron "educados" en las prácticas que éste permite y promociona.
En ese sentido, en Linux se da la combinación de lo mejor de estos mundos: una comunidad muy fuerte, que ayuda en la concienciación de sus miembros en materia de seguridad y otras materias; un sistema operativo que generalmente es distribuido con configuraciones más restrictivas y seguras, pero al mismo tiempo más flexibles (imposibilidad de ejecutar archivos adjuntos, usuario principal con privilegios limitados, etc.); y con características propias que hacen al sistema más seguro (repositorios que permiten la instalación desde fuentes confiables, actualizaciones más rápidas y seguras, construcción "modular" y multi-usuario, etc.).