Una firma de seguridad tiene como objetivo que las actualizaciones sean tan sencillas e invisibles como sea posible.
Una investigación reciente muestra que el usuario de PC típico necesita instalar una actualización de seguridad aproximadamente cada cinco días para poder usar Microsoft Windows con seguridad, así como todos los programas de terceros que normalmente se ejecutan en dicho sistema. En respuesta a este problema, una firma de seguridad informática danesa afirma que próximamente lanzará un nuevo servicio capaz de automatizar silenciosamente la instalación de actualizaciones de seguridad para docenas de productos de software entre los más comúnmente utilizados.
La cifra de cinco días procede de una información recabada por Secunia, que se basó en estadísticas provenientes de casi dos millones de usuarios de su herramienta Personal Software Inspector (PSI), un programa diseñado para alertar a los usuarios acerca de programas no actualizados e inseguros que se estén ejecutando en sus máquinas. Secunia descubrió que el usuario de Microsoft Windows típico posee más de 66 programas de entre más de 22 compañías de software distintas en su ordenador.
A pesar de que la versión actual de PSI incluye vínculos a las actualizaciones más recientes de cada aplicación no actualizada, muchos usuarios aún consideran que el proceso de actualización es demasiado pesado y torpe, afirma Thomas Kristensen, el director de seguridad de Secunia.
“La mayoría de los usuarios no quieren molestarse con todas estas actualizaciones,” señala Kristensen. “Incluso cuando les proporcionamos los vínculos de descarga apropiados para las actualizaciones, muchos usuarios dicen ‘No, no quiero hacer clic en todas esas cosas.’ Nos gustaría reducir el número de usuarios que abandonan el proceso de parcheado en ese momento.”
La evidencia sugiere que el usuario medio no se molesta en instalar actualizaciones de seguridad cuando debe—a no ser que el proceso esté más o menos automatizado. En un estudio publicado el verano pasado, un grupo de investigadores de Google Suiza y el Instituto Federal Suizo de Tecnología, se descubrió que los navegadores que incluían actualizaciones silenciosas y automáticas—como Firefox de Mozilla y Chrome de Google—funcionaban mucho mejor y más rápidamente a la hora de colocar parches que los mecanismos de instalación manual mecánicos utilizados por los navegadores rivales como el de Microsoft, Opera y Apple.
Puesto que los hackers cada vez atacan con más frecuencia los agujeros de seguridad en el software antes de que las compañías puedan enviar los parches, la colocación a tiempo de dichos parches resulta más vital que nunca, afirma Wolfgang Kandek, director tecnológico de Qualys, una firma de seguridad informática con sede en Redwood Shores, California, que ayuda a las compañías a administrar los parches. Kandek señala que Microsoft logró una gran incursión con el Service Pack 2 para Windows XP, que pedía a los usuarios la activación de las actualizaciones automáticas para el sistema operativo. Sin embargo añade que una cantidad demasiado baja entre los principales desarrolladores de software incluyen mecanismos de auto-actualización similares.
“Tomemos como ejemplo versiones más antiguas del software de Adobe, que no poseen el componente de actualización,” afirma Kandek. “Los usuarios de estos programas se quedarán con la versión que sea que estén usando, y nunca la actualizarán.” Alan Paller, director de investigación de SANS Institute, con sede en Bethesda, Maryland, una compañía de entrenamiento en seguridad informática, afirma que hace muchos años Microsoft consideró compartir su servicio Windows Update con desarrolladores de software externos como forma de llevar a cabo las actualizaciones, pero finalmente abandonó la idea debido a preocupaciones relacionadas con la responsabilidad legal.
Kristensen desde Secunia afirma que la herramienta de su compañía evitará cualquier responsabilidad en cuanto a seguridad gracias a la descarga de parches de la misma forma en que lo haría un usuario normal con cada aplicación. Aún así, afirma, probablemente no todas las compañías de software faciliten este proceso.
“Surgen problemas de responsabilidad si empezamos a modificar los parches o a colocarlos en nuestro propio almacén de actualizaciones,” señala Kristensen. “Algo que podemos garantizares que no funcionará para el 100% del software. Nos gustaría que así fuera, pero requeriría un 100 por cien de cooperación por parte de muchas compañías que no poseen un buen historial en relación a este asunto.”
Según Paller, el reto principal de Secunia es resultar atractiva ante aquellos usuarios que no sepan demasiado acerca de la seguridad como para saber que tienen que instalar actualizaciones de las aplicaciones desarrolladas por terceros. “Por eso creo que un servicio como éste—si es que queremos que tenga un impacto decente—necesita ofrecerse a través de los proveedores de servicios de internet,” afirma. “Mi objetivo sería que si eres un ISP, tienes que ofrecer un servicio como éste.”
La herramienta de parches de Secunia necesitará ponerse a prueba seriamente antes de que se pueda emplear a escala tan amplia. Secunia ya ha adaptado la versión de empresa de PSI para usar actualizaciones de programas de terceros, aunque hacer lo mismo para los ordenadores a nivel de consumidor sería un reto mucho más grande, particularmente a la hora de hacer que el software funcione con todas las distintas implementaciones en idiomas extranjeros de este tipo de productos de terceros.
“El objetivo es hacer que esto sea escalable y legal, y hacer lo que tengamos que hacer—al menos al principio—para priorizar los productos que parcheemos en base a aquellos que estén más ampliamente instalados, puesto que no hay modo posible de que cubramos 13.000 aplicaciones de una vez,” afirma Kristensen.
Secuina tiene como objetivo una versión previa disponible en abril para usuarios de PC expertos, y una versión beta para consumo público más general unos cuantos meses después.