Si no hay más retrasos, a partir de mañana estará disponible "para todos los usuarios" en el servicio Windows Update de Microsoft (aunque imagino que la versión en castellano aún tardará algunos días más) el Service Pack 2, la esperada actualización que, en teoría (habrá que ver cómo se porta en la práctica) mejorará la seguridad de Windows XP, sobre todo para usuarios con mínimos o nulos conocimientos de seguridad informática. Los cambios que incluye el SP2 son muchos (la descarga será de entre 100 y 300 Megabytes, aproximadamente, según los parches que ya estén instalados), tantos que el resultado bien podría llamarse Windows XP Segunda Edición. Si no estás al tanto de en qué consisten estos cambios (y si lo estás también merece la pena) en Nautopia han hecho un buen análisis del Service Pack 2.

Una ventaja de que el SP2 llegue más tarde en castellano, es que podemos ir viendo cómo les va a los que ya han podido instalarlo (los que tengan Windows XP en inglés o alemán). Según Eweek (y otras fuentes dan datos en la misma línea) los resultados de la instalación de la actualización de Windows XP van desde ningún problema al fallo total del sistema, pasando por todo el abanico de situaciones intermedias (incluso en algún caso el SP2 se ha negado a instalarse). Como decía al principio, este Service Pack practicamente hace de Windows XP un nuevo sistema operativo y estaba previsto que muchos programas no fueran compatibles después de actualizar (Microsoft ha publicado una extensa lista con los programas que pueden ocasionar problemas o dejar de funcionar o no poder instalarse con SP2, incluidos muchos antivirus y cortafuegos), así que tener problemas con algún programa concreto puede considerarse normal (habrá que esperar nuevas versiones o parches de las aplicaciones problemáticas).

Desde Microsoft se recuerda que en caso de que haya problemas de rendimiento, o con el hardware (por lo visto muchas tarjetas de red inalámbricas dan problemas) o un programa crítico para el usuario deje de funcionar, es posible desinstalar el SP2.

Para minimizar el riesgo de problemas, y basándome en las experiencias de usuarios que he podido leer, recomiendo instalar el Service Pack 2 para Windows XP sobre una instalación limpia (hacer copia de seguridad de lo que sea necesario, formatear el disco e instalar Windows XP desde cero).

En lo que va de semana, se han encontrado dos nuevos fallos de seguridad en Internet Explorer. Liu Die Yu ha encontrado otra manera de hacer que Internet Explorer muestre en la barra de direcciones una dirección distinta de la real, lo que podría ser usado en lo que se ha dado en llamar phising, ataques que consisten en tratar de engañar al usuario para que entregue sus contraseñas o números de tarjeta haciéndole creer que está en un sitio de confianza (por ejemplo, su banco) cuando no es así. Por supuesto, para este tipo de timo, cuantas más cosas se puedan recrear al detalle, mejor.

Sin embargo, este método para sustituir el contenido de la barra de direcciones ya no funciona en IE6.05, la versión del navegador de Microsoft que viene con el Service Pack 2 para Windows XP. Supongo que a partir de ahora veremos unos cuantos en que los sucederá ésto, porque no hay que olvidar que los usuarios de otras versiones de Windows (98, ME, 2000) que aún tienen soporte por parte de Microsoft no pueden acceder a esta versión de Internet Explorer, ya que ha dejado de distribuirse como aplicación separada. Habrá que ver cómo de rápido funciona el soporte de Microsoft (en forma de parches, me refiero) para estas cosas, porque me da la impresión de que están muy centrados en XP y de los otros se acuerdan poco.

En cambio, el otro fallo de IE afecta también a los que ya hayan instalado el nuevo SP2. Y es bastante más peligroso, además. En este caso, http-equiv se basa en un trabajo realizado por la ya citada Liu Die Yu en septiembre del año pasado que Microsoft tuvo que parchear en dos ocasiones (con el primer parche no lograron solucionar el problema). En la prueba de concepto que ha diseñado, consigue colocar un programa en la carpeta Inicio de un Windows XP, actualizado con todos los parches disponibles (SP2 incluido), sin que el usuario reciba notificación de lo que ocurre, con lo que éste se ejecutará en el siguiente reinicio. Hay más información en Secunia en inglés y en Nautopia, en castellano, entre otros sitios.

Mientras que es de esperar que el Service Pack 2 sea efectivo contra epidemias de gusanos tipo Blaster o Sasser, no ocurre así para Internet Explorer 6.05, cuyas mejoras son pocos menos que cosméticas (quizá alguna de las modificaciones sea útil contra el spyware, pero eso aún está por ver) y es más que probable que siga marcando nuevos hitos en su impresionante registro de problemas de seguridad. De momento, empezaremos a contar los días que tardan en Microsoft en encontrar una solución para ésto.

Para terminar por hoy, un fallo en el diseño del nuevo firewall que viene con Windows XP SP2, provoca que aplicaciones que necesiten acceder al interfaz loopback dejen de funcionar, dando un mensaje de error indicando que no se ha podido establecer la conexión. Microsoft ya ha puesto ha disposición de los usuarios del Service Pack 2 una solución, en lo que es el primer parche para este paquete de actualizaciones de Microsoft, cuando apenas hace tres días que está disponible y después de acumular meses de retraso en su puesta a punto y distribución.

Hasta que los ordenadores nuevos empiecen a venderse con el Service Pack 2 para Windows XP ya instalado, todavía pasarán algunos meses. Durante ese tiempo, y como ya vimos, la mayoría de equipos nuevos conectados a Internet durarán muy poco tiempo sin ser afectados por algún virus (sin necesidad de que el usuario tenga que hacer nada en especial). Según datos del SANS Institute, recopilados en este gráfico, actualmente ese tiempo es de unos 20 minutos.

En el gráfico podemos ver que, desde marzo de 2003, un equipo nuevo con Windows XP ha tenido un tiempo de supervivencia máximo (como media) en Internet de poco más de una hora. Una situación inaceptable que empieza a arreglarse ahora, con la llegada del SP2 y la mejora del firewall de Windows XP que incorpora y su puesta en marcha por defecto y en los primeros estadios del arranque. Digo que empieza a arreglarse porque entre los retrasos que se están produciendo debido a las traducciones a diversos idiomas, los que no podrán instalarlo hasta que haya actualizaciones para los programas o drivers de hardware que necesiten y, finalmente, como decía al principio, se venda en cada equipo nuevo con Windows XP todavía falta.

Entretanto, los usuarios con pocos o nulos conocimientos de seguridad podrán disfrutar de su nuevo ordenador durante esos escasos 20 minutos antes de empezar a tener que aprender algo de acerca de seguridad a la fuerza. Microsoft no ha tomado ninguna medida para evitar ésto hasta ahora (tras más de un año en esta situación), y los esfuerzos para informar y tratar de educar a los usuarios han venido siempre de terceros, como el ya citado SANS Institute o la empresa española Hispasec que tradujo la Guía supervivencia Windows XP, con información paso a paso que realmente pueda resultar de utilidad para el usuario (aunque probablemente esta información llegará tarde, si es que llega), a diferencia de la enrevesada y ambigua Proteja su PC en 3 pasos de Microsoft, que de todas formas en este caso es inútil porque no hay ningún tipo de aviso en el punto de venta, ni en la caja, ni en los manuales.

Según Secunia se puede usar una skin del famoso reproductor Winamp para colocar un programa en cualquier parte del sistema de archivos que se desee y ejecutarlo.

El usuario debe descargar voluntariamente una skin maliciosa, pero como no hay forma de diferenciarla de cualquier otra a primera vista, esto no tiene importancia. Las skins de Winamp vienen en archivos WSZ, que son paquetes de archivos comprimidos ZIP normales, con las imágenes necesarias y uno o más archivos XML en su interior. En uno de estos archivos XML puede hacerse una llamada a un documento HTML, es decir, una página web, por lo tanto Windows llamará al navegador por defecto para interpretarla. Este documento HTML tiene que contener una etiqueta OBJECT con su correspondiente atributo CODEBASE, que indica al navegador que debe cargar otro programa y dónde debe ir a descargarlo. En ese momento, si el navegador por defecto es Internet Explorer, gracias a los problemas de seguridad de este navegador con esa etiqueta, descargará y ejecutará el programa sin preguntar nada al usuario. En el caso de que sea otro el navegador por defecto, el usuario verá un diálogo del sistema preguntando qué debe hacer con el archivo, y le dará a elegir entre abrirlo, descargarlo al disco o cancelar la operación.

Microsoft ha intentado corregir los problemas de IE con la etiqueta OBJECT en tres ocasiones (con 3 parches distintos) y todavía es posible conseguir que ejecute programas sin preguntar si se consigue que se llamen a través de un archivo guardado en la propia máquina, lo que Microsoft llama la zona de seguridad "Mi PC" que no tiene restricción alguna. Es un ejemplo de lo frágil que es el diseño de Zonas de Seguridad de Windows. Se supone que el SP2 para Windows XP debe reforzar este punto débil, pero aún no está disponible en castellano.

Se ha comprobado que funciona con versiones de Winamp 3.x y 5.x (incluida la última, 5.04) en Windows XP SP1 con todos los parches instalados (en cualquier otra versión de Windows debería funcionar igualmente, ya que el fallo principal está en IE). No está confirmado si funciona o no en el SP2.

Las soluciones pasan por usar la versión Classic de Winamp, no descargar nuevas skins hasta que una nueva versión de Winamp corrija el fallo, usar otro programa para la reproducción de audio/video y, sobre todo, tener un navegador distinto de Internet Explorer como predeterminado.