Opinión

...y en breve continúo dónde lo dejé ayer.

Los parches de noviembre de Microsoft ya están disponibles. Resuelven varias vulnerabilidades que permiten ejecutar cualquier código sin permiso en Internet Explorer, Windows 2000 y XP (en ambos, en todas sus versiones), Word, Excel y en las extensiones de FrontPage.

Volviendo al tema de ayer, en Hispasec, al hilo de la publicación de parches de forma mensual, que empezó el mes pasado, de momento, de forma desastrosa, como he ido comentando aquí, dicen algo que no puedo evitar reproducir:

Por otro lado, regularizar la publicación de parches, convirtiéndolo en algo cotidiano, es el camino más corto para que algo extraordinario se estabilice en la normalidad.

Un ejemplo, aunque sea como efecto colateral no buscado, lo tenemos en la normalización de las "pantallas azules" o cuelgues de Win9x. Algo extraordinario como es el que algo tenga algún defecto y falle, a fuerza de repetirse, se convirtió en algo común y aceptado. A nadie le extrañaba que de forma regular un Windows 9x se colgara, hasta los informáticos terminamos por dar la receta "es normal, reinicia, y listo". De hecho, lo extraordinario sería que un Win9x estuviera un mes seguido sin tener algún incidente de este tipo.

¿Imaginan este tipo de fallos en otro sector? ¿Aceptaría que su moto o coche, recién comprados, tuviera problemas mecánicos y le dejara tirado de vez en cuando? Así nos va con el software, la poca exigencia del mercado es en gran parte responsable de la baja calidad de los productos.

No se puede plantear mejor. Los sistemas operativos (o cualquier otro tipo de software, pero sobre todo éstos) no deberían colgarse ni autoreiniciarse. Esto no es normal y no debe aceptarse como normal. Una fama tan mala como la que han adquírido los sistemas Windows, hubiera llevado a la quiebra a cualquier compañía que fabricase cualquier tipo de producto. Sin embargo, Microsoft no sólo no se ha hundido sino que, en el segmento de ordenadores domésticos, al menos, ocupa una posición predominante. Esto ha podido ocurrir porque mucha gente ha llegado a pensar que con el software es normal. No lo es. Tampoco lo es que no pase un mes que no haya varios parches de seguridad para un programa concreto (Internet Explorer), aparte de otros fallos sin solución. Hay mucho software de buena calidad ahí fuera que funciona como es debido. Software con el que es sencillo trabajar porque no falla ni da problemas. El día que ésto llegue a la gente, estaremos más cerca de la informática fácil y al alcance de todos.

Por mucho que se venda la idea de la informática sencilla y alcance de todos, un ordenador no es un electrodoméstico. Los sistemas operativos (todos ellos en general) vienen, en cada nueva versión, con un mayor número de asistentes, tratando de poner al alcance de cualquiera todo el potencial de estos aparatos. Pero no es suficiente y, en la siguiente versión, habrá todavía más asistentes, más claros, usando un lenguaje más llano... y será mayor el número de páginas de ayuda. Y seguirá siendo mayormente un esfuerzo inútil. Los asistentes nunca terminarán de incluir todas los problemas posibles y, la ayuda, es como las licencias, casi nadie la lee.

Se vende el ordenador como un televisor o un microondas, enchufar y pulsar el botón de encendido. Puede ser suficiente con esos dos aparatos, pero, si ni siquiera es suficiente con algo un pelín más complicado como un video (¿Cuántos videos marcan la hora correcta? ¿Cuántos videos se usan para algo más que reproducir las peliculas del videoclub? Y eso que todos traen manual de instrucciones) ¿Cómo va a ser suficiente con algo que es, al mismo tiempo, un televisor, un vídeo, un teléfono, un fax, un completo equipo de oficina, un cadena de alta definición, un estudio de sonido o vídeo o diseño gráfico, una consola de videojuegos, tiene capacidades de videoconferencia... y además puede utilizar (y servir él mismo) todos los servicios de Internet (WWW, FTP, correo, IRC...)? Y esto no es todo, porque la esencia de un ordenador es ser programable. Las cosas que es capaz de hacer siempre pueden ampliarse.

Con un ordenador sin acceso a la Red, aunque un usuario no sepa lo que hace no pasará grandes apuros, utilizará lo que sepa o le interese, con más o menos problemas, pero nada más. Conectado a Internet, un usuario que no sepa lo que hace está paseando por un barrio peligroso sin darse cuenta (y si, además, utiliza Windows, ha dejado aparcado su coche sin cerrar y con las llaves en el contacto, con la cartera y las tarjetas de crédito en la guantera).

No existe un sistema operativo perfectamente seguro. Si acaso, unos más seguros que otros recién terminada la instalación inicial. En casi todos es posible alcanzar un nivel de seguridad aceptable (si no casi perfecta), por lo que, sea cual sea el sistema operativo que se utilice, habrá que dedicarle cierto tiempo a conocer que medidas se deben tomar y a adoptarlas.

Si tuviera que recomendar un sistema operativo a alguien que no quisiera complicarse la vida con éstas cosas, desde luego no le recomendaría un Windows. En cualquiera de sus distintas versiones, es el más inseguro de todos los sistemas operativos (recién instalado, luego puede mejorarse con algo de tiempo y sabiendo lo que se hace). Cualquier otro le haría un mejor papel. Distintas distribuciones del sistema operativo Linux ofrecen, gratuitamente, suficiente software recién instaladas para que un usuario corriente no eche en falta nada (¿Por otro lado, qué puede hacerse con un Windows recién instalado? Realmente muy poca cosa) y en un entorno mucho más seguro.

Aún así, no es posible distanciarse del tema de la seguridad. Todos los programas son susceptibles de tener vulnerabilidades y, de vez en cuando, habrá que instalar algún parche. Tampoco es posible el uso seguro de un sistema Linux siendo completamente ignorante. No porque sea más complicado de usar (todos son fáciles de usar, lo que es complicado, en cualquier sistema, es configurarlo y administrarlo), sino porque hay que saber, por lo menos, que la cuenta de superusuario (root o administrador) no es para navegar por internet. Con eso será suficiente. (Nota mental: Alguien debería decírselo a los usuarios de Windows XP).

Utilizar un ordenador es fácil. Resolver los problemas que puedan surgir no es fácil ni sencillo. No importa cual sea el número de asistentes que traiga el sistema operativo, ni lo amplia que sea la ayuda.

El ordenador estará más cerca de ser un electrodoméstico (y la informática realmente fácil y al alcance de todos) cuando el sistema operativo estándar sea razonablemente seguro y dé el mínimo de problemas. ¿No suena a Windows, verdad?

ActiveX es una tecnología propietaria de Microsoft con un largo historial de fallos graves de seguridad. Se han descubierto tres nuevos para los que aún no hay parche, por lo que, como suele suceder cada vez que se descubre un fallo en los controles ActiveX, el navegador de Microsoft es vulnerable incluso con todos los parches instalados. ActiveX sirve para descargar, instalar y ejecutar programas de forma autómatica, lo que da una idea del nivel de gravedad que tienen los fallos en estas aplicaciones (Siempre se les adjudica el máximo nível, crítico).

La utilidad de esta tecnología es relativa, se usa, por ejemplo, en servicios como Windows Update y las salas de chat de los grupos de MSN (también se usaba en las salas de chat normales, antes de que las cerraran). Fuera de las páginas de Microsoft y de MSN no sirve para nada, eso sí, viene muy bien para instalar dialers y spyware que es para que lo que mayormente se usa fuera de ahí. Es por tanto, la mayor parte del tiempo una tecnología peligrosa y molesta para el usuario, aún cuando no tuviera fallos cada dos por tres.

En Internet Explorer está activada por defecto, para permitir un fácil acceso a los servicios de Microsoft que la usan. Una muestra más de que lo más fácil para el usuario no es siempre lo mejor para él. Conviene desactivarla cuando no sea necesaria, para evitarse sustos. Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel personalizado, Secuencias de comandos ActiveX, señalar la opción de Desactivar. Como se ve por la secuencia de menús, no está precisamente a la vista. Lo más seguro hubiese sido ponerla a la vista e instruir a los usuarios en cuando deben conectarla y desconectarla, pero claro, eso habría dificultado su venta a todos esos webmasters maliciosos que la usan para instalarte cualquier cosa.

Se ha hecho bastante común entre los usuarios de Windows XP la instalación de lo que se llama "Visual Styles", o simplemente "temas" para cambiar la apariencia de la shell de XP, bien sea a través de la aplicación de un pequeño hack con el archivo uxtheme.dll o usando programas como WindowBlinds.

Pues a partir de ahora, habrá que ser cuidadoso a la hora de instalar uno nuevo. Se ha descubierto la manera de hacer que estos temas de escritorio puedan ejecutar código, e incluso escalar privilegios, a través de un fallo en la implementación de los botones con estilo XP.

El código que permite hacerlo ya corre por la Red, es cuestión de tiempo que alguien lo aproveche para crear un nuevo código malicioso.

Ni que decir tiene que actualmente no hay parche para esto y dado que no es algo que Microsoft soporte oficialmente, es muy posible que no lo haya. Los usuarios de XP tendrán que tener un ojo puesto en las actualizaciones de sus antivirus, por si acaso.

El código puede verse, entre otros sitios, en SecuriTeam.

Sólo son rumores. Pero cada vez más insistentes. Se dice que Microsoft estaría interesado en comprar un buen número de esas acciones que Google tiene previsto poner a la venta. Se dice incluso que los de Redmond han ofrecido una fusión a los responsables del buscador por excelencia.

Estoy seguro de que a muchos no nos gusta la idea. Pero entra dentro de lo probable. Google va a vender acciones, Microsoft ha dado señales de querer entrar en el mercado de los buscadores de Internet, de hecho, han anunciado que en su nuevo sistema operativo (cuando quiera que salga, 2006 al menos) las búsquedas, tanto en Internet cómo en el propio disco duro, serán más fáciles y rápidas. En el disco duro ya se sabe cómo lo harán. Han anunciado un nuevo sistema de ficheros (que en realidad no es tal, sólo una capa de XML sobre el ya conocido NTFS) que engordará el tamaño de todos nuestros ficheros, haciéndolos de paso, más complicados de leer desde otros sistemas de archivos, a cambio de la prometida rápidez.

Pero ¿y el buscador de Internet? Hasta ahora pensaba que integrarían (todavía más) su portal MSN y su buscador con su navegador Internet Explorer y el resto del sistema operativo, pero estos rumores me hacen cambiar de opinión porque ¿qué mejor y más rápido buscador que Google?

Lo que me lleva a pensar cosas más disparatadas. ¿Harían como cuando compraron Hotmail y tratarían de pasar los servidores Unix/Linux a Windows 2003/IIS? (no lo consiguieron) Porque, si alguien no lo sabía, en las máquinas de Google no hay otra cosa que Linux Red Hat.

Muchos estaríamos encantados de unirnos y apoyar en lo que fuese necesario. Plataforma No (Vía marianitu).

De momento, cómo se decía en El Tercer Hombre hace unos días, nos tendremos que conformar con ofrecernos a instalar Linux; así al menos, sólo tendríamos que instalar una vez y olvidarnos del asunto (salvo que el usuario se metiera como root a enredar con el contenido del directorio /lib claro, que nada es demasiado improbable).

Tengo que hablar una vez más (ya van tres) del parche de octubre de Microsoft y es que el primer parche mensual de seguridad de Microsoft lleva una trayectoria que roza ya el ridículo. Un problema con el archivo update.exe, que se queda con todos los recursos de la máquina, ha ocasionado cuelgues durante la instalación de la primera corrección del parche en algunos equipos con Windows 2000, XP o 2003 Server. La nueva corrección incluye una nueva versión de este archivo, que debe corregir el problema e instalar la corrección. Si no se han tenido problemas con la instalación del último parche no se debe bajar ésta última.

Hay que recordar que los parches combinados nunca le han dado buen resultado a Microsoft y, además, esperar para reunir los parches deja los equipos más tiempo desprotegidos, por lo que, en un principio, no había ninguna buena razón (al menos una razón técnica) para publicar un único parche mensual. La decisión sólo podía responder a una maniobra de marketing, como ya dije en su momento. Viendo los resultados hasta ahora, está claro que fue una decisión equivocada (siempre lo es poner las razones de mercado por encima de las técnicas), de hecho, se preveían problemas, pero no tantos como para alcanzar semejante nivel de despropósito.

Esta vez supongo que será la última vez que me toque hablar de éste parche, si el de noviembre sale parecido, más vale (más les valdría hacerlo ya) que vuelvan a publicar los parches en cuanto los tengan y de uno en uno, como hacían hasta ahora y es lo más lógico.

Puedes leer la noticia completa relacionada en Hispasec.

El lenguaje Java permite crear aplicaciones que funcionarán en cualquier ordenador (ahora también teléfonos móviles que cada vez son más parecidos a PDAs), sin importar la combinación de sistema operativo y arquitectura que utilice, siempre que disponga de una Máquina Virtual Java.

La JVM a la hora de navegar no tiene mucha utilidad (los applets Java en la WWW, aunque permiten efectos muy vistosos son muy escasos a causa de su elevado tamaño). Sin embargo, debido a que muchos sitios que proporcionan servicios de chat utilizan Java para proporcionarlos, el plug-in de la máquina virtual java está instalado en la mayor parte de los navegadores. Se ha descubierto una vulnerabilidad en la JVM que, por tanto, afectará a todos aquellos que la tengan instalada y activa (algunos navegadores permiten activarla o desactivarla a voluntad).

La última versión de la Máquina Virtual Java soluciona el problema. Puede descargarse de la página de Java de Sun Microsystems.

Aunque no demasiado a menudo, aparecen de cuando en cuando agujeros de seguridad como éste en la JVM. Hay que tener en cuenta que un fallo en ella, permite atacar a todas las plataformas, por lo que es un bocado apetitoso para programadores de virus y amantes de los datos ajenos. Mi recomendación es tenerla instalada, pero inactiva (si tu navegador no te permite ésto, cambia de navegador). Activarla sólo cuando sea necesaria y si la página que nos requiere su uso es de nuestra plena confianza.

El primer parche mensual de Microsoft, que se publicó el día 15, sigue dando problemas. Primero fue noticia porque apagaba un antivirus, ahora resulta que hay casos de equipos que utilizan versiones en algunos idiomas distintos del inglés (incluidas las versiones en español) que siguen siendo vulnerables tras la instalación del parche, otros se bloquean o tienen problemas de compatibilidad con otros programas que antes del parche funcionaban correctamente. Se recomienda utilizar el servicio de Windows Update nuevamente para corregir algunos de éstos problemas (en el caso del software de terceros que deja de funcionar, habrá que esperar actualizaciones posteriores de los fabricantes de los programas afectados, como el antivirus mencionado) con un nuevo parche.

Ya anuncié aquí que la decisión de publicar los parches mensualmente no me parecía buena idea, más producto de una campaña de marketing que una decisión lógica. Desde luego no podían haber tardado menos en darme la razón. A ver que tal les va con la siguiente (suponiendo que ésta ya no cause más problemas), prevista para el segundo martes del mes que viene.

Tengo escrito por ahí algo al respecto de cómo elegir las contraseñas, pero leyendo Barrapunto me he dado cuenta de que carece de ejemplos y se me ha ocurrido sería una buena idea apuntar algunos. Una buena contraseña deberá ser robusta, es decir, tendrá que incluir mayúsculas, minúsculas, números y, si es posible, símbolos. Además tendrá que ser bastante larga (al menos, 8 caracteres). Pero claro, también tendría que ser fácil de recordar. Vamos a ver cómo conseguir ésto de distintas maneras, todas sacadas de Barrapunto:

• Elegir una frase de seis o más palabras, fácil de recordar y usar la primera letra de cada palabra (también podría ser la segunda o la última y escribirlas al derecho o al revés) y sustituir las vocales por números parecidos¹. Para alargarla añadir el año que estamos o el mes que vamos a usarla. Ejemplo: La madre que parió a Bill Gates² quedaría Lmqp4BG03


• El mismo sistema anterior puede usarse con una canción que nos guste, usando el año de publicación. Para variar, partiremos el año en dos, poniéndolo al principio y al final. Ejemplo: When Love Comes to Town de 1988 sería 19WLCtT88


• También podríamos usar cosas que tengamos a la vista, pero que no sean evidentes, como el ISBN del libro que estemos leyendo. En este caso podemos hacerlo al revés y cambiar los números por letras. Ejemplo: 84-450-7385-0 podría ser 8aaSo7e8So. Esto mismo puede hacerse con otras cosas, la entrada de un cine o un concierto que tengamos a mano, una factura, el IMEI del teléfono móvil...

¹ La A por el 4, la E por el 3, la I por el 1, la O por el 0. Es habitual también sustituir la S por el 5 o la T por el 7.

² Esto es fácil de recordar, sólo hay que acordarse de la última vez que se colgó Windows y llevabas una hora sin grabar lo que estabas haciendo.

De forma similar a como ocurría en Internet Explorer, un enlace especialmente construído puede obligar al navegador Opera a ejecutar código (borrar archivos, formatear el disco duro, etcétera). En la última versión de Opera disponible este problema ya está corregido, por lo que recomiendo a los usuarios de éste navegador actualizar lo antes posible.

Aunque el resultado de explotar ambas vulnerabilidades, la de IE y la de Opera, es muy parecido, la dificultad de aprovechar el fallo en Opera es mucho mayor (en IE era absurdamente fácil). Como Opera no está integrado con el sistema operativo, es necesario encontrar un búfer que pueda ser desbordado, en este caso el usado por ciertas etiquetas HREF, incrustando en la memoria el código que será ejecutado sobreescribiendo el que Opera había colocado allí. La ejecución del código incrustado no sería inmediata sino fuera porque, desgraciadamente, esta operación causa que Opera se cierre, lo que libera la memoria usada y dispara así el código inyectado.

Para el que no haya entendido el párrafo anterior (que no estoy seguro de haber conseguido simplificar al punto de que pueda entenderlo alguien sin conocimientos previos) añadiré que, mientras el fallo de IE podía ser aprovechado por cualquiera que fuera capaz de encontrar un archivo concreto en su propio ordenador, el de Opera necesita conocimientos mucho más avanzados (lo que debería ser evidente tras el párrafo anterior) para sacar un beneficio de él.

Gracias a la casi plena coincidencia temporal de dos errores de parecidas consecuencias en dos navegadores distintos, uno integrado en el sistema operativo y otro no, creo que puedo hacer (en este punto, ya debería estar hecho) que todo el mundo entienda una de las ventajas clave de usar un navegador que no forma parte del sistema operativo.

Las actualizaciones grandes de Microsoft suelen causar algún problema con el software instalado (hay que recordar que a partir de ahora casi todas tendrán un gran tamaño) y ésta primera actualización mensual no ha sido una excepción. El asunto es grave en ésta ocasión, porque desactiva un antivirus.

Los usuarios del antivirus Sophos se han encontrado con que su antivirus no era capaz de arrancar tras instalar el parche de seguridad de este mes para su sistema operativo. El parche introducía cambios en el archivo user32.dll (existente en todas las versiones de Windows) y cambiaba el funcionamiento de algunas de las funciones de éste. Una de esas funciones retocadas por el parche era la que usaba este antivirus para iniciarse. El antivirus puede reinstalarse si se desinstala el parche de Microsoft. La compañía antivirus ha anunciado que publicará un parche en los próximos días que solucionará el problema. Mientras los usuarios de este antivirus tendrán que elegir entre estar sin antivirus (o instalar otro) o esperar para actualizar y asegurar su sistema operativo.

Las actualizaciones mensuales de Microsoft no han empezado con buen pie.

Microsoft, en un nuevo intento de conseguir que los usuarios de software se habituen a descargar los parches de seguridad, dejará de distribuir éstos en el momento en que estén disponibles (puedes leer la noticia en Hispasec) pasando a distribuirlos en un único paquete mensual. En palabras de Amy Carroll, director de producto de la
unidad de negocio de seguridad de Microsoft

Este cambio facilitará a los usuarios la localización e instalación de las actualizaciones de seguridad.

Lo que queda muy bonito, sobre todo, después del verano tan movidito que nos han dado los fallos de seguridad en los productos de su empresa, pero no veo cómo va a facilitar ni la localización (siguen en el mismo sitio) ni la instalación (que seguirá siendo automática, visitando Windows Update).

Supongo que la idea es que la gente se acostumbre a pasar una vez al mes por Windows Update, pero no me explico porqué no siguen distribuyendo los parches individuales como hasta ahora, aunque después haya un recopilatorio mensual. Aún suponiendo que con esta nueva política de parches consigan que un mayor número de usuarios tenga su sistema actualizado, en la mayor parte de los casos ésto significará que los equipos continuarán desprotegidos un tiempo extra totalmente innecesario.

El primero de estos parches mensuales se empezó a distribuir ayer e incluye parches para cinco distintas vulnerabilidades calificadas como críticas y afectan a todas las versiones de Windows posteriores a la 98.

La más peligrosa de ellas, en mi opinión, por la facilidad de explotarla, permite borrar casi cualquier archivo del disco duro si se conoce su ubicación o, lo que es lo mismo, borrar cualquiera de los archivos esenciales del sistema operativo. Todo lo que hay que hacer es un sencillo enlace en una página web y esperar que un usuario de Internet Explorer haga click en él y el archivo elegido se borrará sin más. Si el usuario de Windows está usando cualquier otro navegador no ocurrirá nada en absoluto, la vulnerabilidad reside en la integración de IE con el Centro de Ayuda y Soporte de Microsoft y de ambos con el resto del sistema operativo. Al usar un navegador no integrado en el sistema operativo, un intento de aprovechar ésta vulnerabilidad no tendrá ningún efecto.

Es un buen ejemplo de porqué es peligroso integrar el navegador en el sistema operativo y de porqué ésto no debería haberse hecho nunca. Entonces primó el marketing (había que ganar mercado para su navegador) sobre la seguridad y me pregunto si ahora, con esta nueva política de parches, no estarán cayendo en lo mismo.

Hace tiempo que distintas empresas añaden, sin avisar y sin permiso del usuario, barras de navegación a Internet Explorer con publicidad. Los antivirus las ignoran, ya que las casas antivirus no las consideran virus, aunque las molestias que producen son superiores a las de la mayoría de virus de hoy en día. No conformes con la publicidad de la barra misma y de la lluvia de pop-ups en la que transforman la navegación, éstas barras cada vez tienen mayores funcionalidades, todas ellas automáticas y sin que el usuario pueda hacer nada para detenerlas:

• Llevan un registro de todas las páginas visitadas, que puntualmente envían a un servidor de la empresa propietaria de tan "simpática" utilidad.


• Descargan el software de distintos casinos y dialers de páginas pornográficas.


• Interfieren con el buscador elegido por el usuario (o el elegido por defecto) sustituyéndolos con buscadores de "ocio" del estilo de xjupiter.com o orbitexplorer.com (No proporciono enlaces directos, ya que no es seguro visitar esas páginas con IE) que sólo llevan al tipo de páginas citadas en el punto anterior.


• No se dejan desinstalar con facilidad, ya que se unen íntimamente al navegador a través del registro de Windows. Un intento de desinstalarlas, incluso a través de la opción dedicada a ello que algunas traen, deja fuera de combate el navegador completo, que permanecerá inusable hasta que se reinstale la barra.


• A causa de todo lo anterior, enlentecen la navegación, aumentan el consumo de recursos y ocasionan cuelgues inesperados.

Curiosamente, estas barras se están instalando a través de software que, supuestamente, sirve para evitarlas como Spyware Nuker (tampoco proporciono enlace, creedme, no es sano pasar por allí), una aplicación gratuita que clama eliminar todo tipo de adware y spyware, pero que el mismo instala directamente, o no hace nada si se instalan, spywares de empresas publicitarias con las que tiene acuerdos.

La utilidad recomendada para deshacerse de estas molestas barras (y el resto de spyware y adware que corre por ahí) es SpybotSD, aplicación gratuita, aunque su autor agradecerá cualquier donación. Tampoco está mal la versión gratuita de ad-aware, pero tiene algunas funcionalidades recortadas.

Los usuarios de otros navegadores también pueden beneficiarse de SpybotSD, ya que también hay técnicas de spyware a través de cookies, que conviene eliminar a menudo, así como también es útil para eliminar la publicidad de distintos programas gratuitos que se financian a través de ella (algunos dejarán de funcionar si se retira la publicidad) y para borrar el spyware de aquellos otros programas, tanto gratuitos como comerciales, que lo instalan (de éstos practicamente el 100% dejará de funcionar). Si te encuentras con que varios de tus programas dejan de funcionar tras usar éste programa, no te preocupes, siempre hay una alternativa que hace lo mismo sin instalar nada raro sin tu permiso, con lo que saldrás ganando en estabilidad y velocidad de navegación/descarga.

El virus (gusano de correo) Gibe.C es, en este momento, el más extendido en la Red. Además, ha estado a punto de dejar inoperativa la plataforma de acceso a Internet de Telefónica Net. ¿Cómo es posible si es necesario ejecutarlo manualmente para que lleve a cabo la infección?

Ha fallado lo que llamo la primera barrera: el usuario.

En Internet, como en la vida real, hay cosas que no son lo que aparentan. Pero el usuario, usando un poco de sentido común puede reconocer los engaños. En el caso de Gibe.C puede pretender ser un mensaje rechazado por un servidor de correo o una actualización de Microsoft. Si fuese un mensaje rechazado, ¿cómo es que el archivo adjunto no lo has visto nunca? En el caso de que fuese una actualización de Microsoft sería noticia, ya que Microsoft nunca envía actualizaciones por correo y una sencilla busqueda debería mostrarnos la falsedad de tal actualización.

Los usuarios de los ordenadores infectados nunca se hicieron esas preguntas, ni se tomaron la molestia de comprobar la veracidad del e-mail, simplemente lo ejecutaron.

¿Por qué lo ejecutaron sin pensar? Bueno, eso es un tema interesante, incluso digno de estudio. Sucede que mucha gente desconecta su sentido común al conectarse a Internet; son personas que en la vida real pueden ser inteligentes, incluso escépticas, pero es conectarse a la Red y se convierten en crédulos pertinaces. Se creen autómaticamente todo lo que les muestra su pantalla. Ven el logotipo de Microsoft y creen que lo que están leyendo procede, con toda seguridad, de la empresa de Redmond; les llega un e-mail que parece provenir de un amigo, y no se les ocurre pensar que es posible que lo haya envíado otra persona o que sea un mensaje autómatico enviado por un virus.

También sucede que mucha gente no tiene claro lo que es un virus, mucho menos qué es capaz de hacer y que no, para ellos escribí hace tiempo ¿qué es un virus?

El sentido común puede ser el antivirus más poderoso. Unas cuantas preguntas que conviene hacerse antes de ejecutar un archivo adjunto:

• ¿Valdrá la pena? Si es algo que no necesitamos, quizá lo mejor sea borrarlo sin más.


• ¿Has pedido ese archivo?. Si no lo has hecho, probablemente no lo necesites, lo mejor será borrarlo sin más.


• ¿Conoces a la persona que te lo envía? Si no lo conoces, probablemente lo que te envía no te interesa, bórralo sin más.


• ¿La persona que lo mandó sabe que lo hizo? Los virus pueden enviar archivos usando las cuentas de las personas que infectan o las de su lista de contactos. La pregunta no es tan tonta como puede parecer a primera vista.

Si la respuesta a todas las preguntas anteriores es afirmativa, entonces es hora de ir pensando en ejecutarlo, pero antes asegurate de que tienes el antivirus actualizado y revisa el archivo con él.

Si todo el mundo se hiciese estas sencillas preguntas cuando descarga el correo, un virus como Gibe.C no pasaría de ser una anécdota, pero, a juzgar por la noticia que daba al principio, no hay mucha gente que se les haga, ni siquiera entre la gente de Telefónica Net, que se supone que trabajan en ésto.

Con el subtítulo "No somos malvados" y el lema "Musica en Internet sin remordimientos" Magnatune es una empresa discográfica que propone un nuevo modelo en distribución musical. Puedes escuchar los temas completos en MP3 de los discos antes de comprarlos; los temas están bajo licencia Attribution-NonCommercial-ShareAlike de Creative Commons, con lo que te permite redistribuir los temas y remezclarlos siempre que sea sin propósito comercial y quede constancia del autor del trabajo original.

La empresa reparte beneficios al 50% con los autores. Cuando compras un disco, puedes elegir que precio vas a pagar (entre 5$ y 18$), lo que en la practica permite equiparar el precio al del top-manta, pero siendo todo perfectamente legal. Este pago te permite descargar los temas en un formato (WAV o MP3) con calidad CD para que puedas grabarte tu mismo el disco.

Según Wired News, la empresa recibe cada semana 200 solicitudes de grupos para aparecer en el catálogo de la empresa (aún bastante cortito), aunque sólo 15 de ellos lo consiguen. Dicen en Barrapunto que hay rumores de que un grupo de rock superventas está interesado en Magnatune, porque han calculado que venderían alrededor de la décima parte, pero ganarían más dinero y mantendrían (en este momento, incluso aumentarían) su popularidad.

Esto demuestra que el modelo actual de distribución de música, donde solo ganan los intermediarios y la mayoría de los autores apenas ganan nada por su trabajo está obsoleto. Pienso que el futuro de la industria de la música está en iniciativas como Magnatune o servicios como iTunes, que el próximo 16 de octubre, tendrá ya versión para Windows.

Mientras tanto, tendremos que soportar los últimos coletazos de la industria actual que todavía se niega al cambio y se resiste a desaparecer (ver los juicios a usuarios de redes P2P en los USA o la conducta de la SGAE, que, en sus últimos movimientos, está rayando lo ilegal).

En principio, no quería, para evitar parecer excesivamente alarmista, hacer notar un punto sobre lo que digo en el artículo inmediatamente inferior a éste. El punto es que una máquina desprotegida puede ser usada para atacar a otra, haciendo parecer así que el atacante es el dueño del ordenador no seguro intermedio. Como digo, no iba a hacer notar ésto, pero acabo de encontrarme con esta noticia (lo siento, en inglés), en la que un joven británico dice que eso es exactamente lo que le ha ocurrido ante un tribunal.

La defensa del joven asegura que el ordenador de su cliente, con sistema operativo Windows, tenía, en el momento del ataque por el que está acusado, multiples vulnerabilidades, para las que no existía parche, que hubieran permitido a un atacante usar el ordenador de su cliente como punto intermedio de su ataque, borrando del mismo toda huella de su paso.

Por increíble que pueda parecer, tecnicamente es perfectamente posible, si se confía la seguridad únicamente al sistema operativo, aunque este tenga instalados todos los parches disponibles. El uso de software de terceros (antivirus, antitroyanos y cortafuegos) es un complemento indispensable para reducir al mínimo las posibilidades de que algo así pueda ocurrirte a ti. La excusa del gasto extra en seguridad o de la pereza o dificultad de buscar los cracks para los programas no es excusa, los hay muy buenos y gratuitos, yo mismo mantengo actualizada una lista de ellos aquí.

En cuanto al caso, me gustaría saber (curioso que es uno) qué piensa la gente que pasa por aquí ¿Nos encontramos con una defensa inteligente o con un usuario no preocupado por la seguridad hasta que ha sido demasiado tarde?

Esta es la excusa de muchos para no tomar ningún tipo de precaución en lo que a la seguridad de sus equipos informáticos se refiere. Como puede leerse en esta noticia, hay a quién el contenido de los ordenadores no le importa en absoluto. Lo importante para ellos es que su seguridad sea nula y tengan conexión a Internet y espacio libre en el disco duro.

Si tienes conexión de banda ancha, usas un sistema operativo Windows y no te preocupas de la seguridad, tu ordenador puede convertirse en (o podría ser ya) uno de los cientos de miles de equipos "secuestrados" por un grupo de spammers y crackers, que son usados para distribuir spam y como servidores de pornografía sin que el dueño de la computadora tenga la menor sospecha.

Ante el, cada vez mayor, cuidado de las empresas de hosting y los ISPs para evitar el spam y la pornografía en sus servidores, la nueva estrategia de los spammers consiste en emplear un gran número de equipos caseros para estos menesteres, lo que hace muy díficil su localización y casi imposible cerrar uno de sus servicios, pues la pérdida (por desconexión o porque el dueño del equipo les ha descubierto) de uno de los equipos no les supone nada, basta con cambiar el servicio al siguiente de la lista.

La única manera de acabar con esta nueva estrategia es concienciar a todos los usurios de Internet de que deben cuidar la seguridad de sus equipos, ardua tarea ésta y, en este momento, poco menos que utópica, aunque tal vez ayude el conocimiento de que el spam que recibes (que todo el mundo odia recibir) podría muy bien ser distribuido desde tu propia máquina o desde la del último al que le oíste decir "¿Para qué me voy a preocupar por la seguridad? No tengo nada que ocultar".

Como dice SioSi en un comentario a un artículo anterior, el parche para Internet Explorer que arregla el bug que permite descargar y ejecutar programas sin autorización ni conocimiento del usuario ya ha salido y está disponible para descarga a través del servicio Windows Update de Microsoft (quedan todavía otros bugs sin arreglar), junto con una actualización de seguridad para Windows Media Player.

El problema es que no serán muchos los que descarguen los parches. Microsoft lo sabe y está pensando en hacer que las actualizaciones de seguridad se descarguen e instalen de forma automática como puede leerse en esta noticia y en esta otra.

Desde luego, es una solución; pero se me ocurren algunos inconvenientes, por ejemplo ¿qué ocurrirá con los usuarios de conexiones lentas? No es una pregunta retórica, muchos parches de Microsoft no son precisamente ligeros, me vienen a la cabeza el primer Service Pack para Windows XP, que sobrepasaba los 100 MB o una actualización para IE, que fue sonada, debido a su tamaño, 14 MegaBytes, ¿tendrán que olvidarse de navegar (o hacerlo a una velocidad inusualmente lenta) durante dias? Por no hablar, de lo que puede suponer eso en la factura telefónica.

Por otro lado, no sería la primera vez que un parche de seguridad hace que algunos equipos comiencen a funcionar mal, se ralenticen o se cuelguen. Esto puede llevar a situaciones ridículas, imaginemos un servidor Windows bajando, de forma autómatica, un parche de este tipo: se autoinstala y el equipo se cuelga, el administrador elimina el parche y vuelve a poner on-line el servidor, pero, inmediatamente, el parche comienza a descargarse de nuevo y el servidor vuelve a caer y así (o con el servidor caído) hasta que Microsoft publique una corrección.

En fin, que solución si es, pero desde mi punto de vista, no es adecuada. La libertad de instalar o no un parche (o, al menos, el momento de hacerlo) es necesaria.

Microsoft da otro pasito en la dirección que comentaba la semana pasada, cambiando libertad por seguridad, que nos acerca al futuro que describió G. Orwell en 1984.

Mi opinión al respecto está clara, así que me conformo con informar de ello y añadir algunos enlaces ilustrativos:

• Noticia y comentarios en OSNews.com (en inglés).


• Comentarios en barrapunto a la noticia.