Problemas de seguridad en sistemas informáticos (II)

En el artículo anterior de esta serie analicé si el gran impacto que produjo el gusano «SQL Slammer» allá por Enero de 2003 en las plataformas Microsoft podría reproducirse en entornos de Software Libre. La conclusión fue que, desde el punto de vista del componente humano de los sistemas, sí era posible. Pero ¿y desde la consideración de la naturaleza de las propias plataformas?

Si hay algo de lo que se ha acusado recurrentemente a cualquier entorno propietario es precisamente de la falta de información para los administradores del sistema para enfrentarse a posibles problemas de seguridad. Dado que en la mayoría de los casos la única documentación disponible es la que genera el propio fabricante, el responsable del sistema se ve obligado a confiar la integridad de sus sistemas en el criterio y las capacidades de aquél. Esto es lo que se conoce como «seguridad a través de la oscuridad», filosofía que cuenta con varios e importantes inconvenientes.

En primer lugar, como acabo de decir, la seguridad de nuestros sistemas se ve en manos de terceros. Así mismo, estamos a merced de la política de publicación de parches del fabricante, que no tiene por qué coincidir con las necesidades reales de los sistemas. También hay que considerar que, a pesar de que el fabricante oculte información, es posible (como ya se ha demostrado en numerosas ocasiones) que un cracker encuentre un agujero y que lo empiece a aprovechar activamente, algo de
lo que no estaría informado el administrador del sistema y ante lo que no podría hacer nada ya que el fabricante no se ha pronunciado al respecto, principalmente por puro desconocimiento de la existencia del problema. Por último, el hecho de no contar con los fuentes de la plataforma impide que cualquier profesional concienciado pueda auditarla y descubrir no sólo agujeros de seguridad sino incluso puertas traseras dejadas ahí maliciosamente por el propio fabricante (también se conocen casos).

Nada de lo descrito en el párrafo anterior ocurre en el ámbito del Software Libre, que defiende la filosofía de la «seguridad a través de la claridad». Basta con leer el párrafo al contrario para conocer las ventajas de una plataforma abierta. Como ejemplo clarificador, sólo hay que pensar que cuando se descubre un fallo de seguridad, cualquier administrador medianamente responsable (recordemos el artículo anterior) podrá estar tan informado como cualquier cracker del problema, lo que elimina automáticamente la ventaja con que puedan contar estos malhechores.

Por tanto, si queremos la máxima seguridad en nuestros sistemas, debemos contar con dos cosas fundamentales: plataformas basadas en Software Libre y administradores cualificados. Con eso tendremos asegurado un 99,9% de éxito en la tarea de defender la integridad de nuestros sistemas. Contra el 0,1% restante hay poco que hacer, sólo esperar que no nos toque a nosotros, ya que queda en manos de lo que el profesor Andrew Tanenbaum denomina en sus libros como «la ira de Dios»: accidentes, catástrofes naturales, conflictos bélicos…