Los sistemas operativos son programas formidables. Entre otras cosas, sus millones de líneas de código gestionan los programas en la memoria, supervisan las escritura y lectura de datos, y dibujan las ventanas que abres a diario.
La importancia y complejidad de un sistema operativo es tal que cualquier ataque informático
tiene que lidiar con el SO para tener éxito. Y si el sistema operativo
tiene fallas o está pobremente diseñado, será un coladero de
intrusiones.Incluso cuando un ataque no tiene éxito, el sistema operativo puede resultar dañado. En ese caso, el propósito original del sistema se ve comprometido: ya no es un entorno fiable en el que trabajar.
¿Qué se entiende por seguridad?
En general, al hablar de la seguridad en sistemas informáticos, se mencionan tres pilares básicos: confidencialidad, integridad y disponibilidad.- Confidencialidad: los usuarios sin autorización no deben poder acceder a contenido que no les corresponde; el sistema debe garantizar el secreto
- Integridad: los datos no pueden ser alterados sin autorización y de manera indetectable, y deben estar siempre disponibles
- Disponibilidad: los datos deben poder ser entregados de manera fiable y rápida a los usuarios con autorización para acceder a los mismos
Pero la seguridad depende también de factores externos, como la popularidad: el sistema más usado suele ser también el blanco más vistoso y mejor documentado, el pez más fácil de pescar.
El sistema operativo más popular, y el blanco más visible, es Windows
Aun así hay sistemas que consiguen ser muy seguros incluso siendo muy
populares. Lo consiguen gracias a un diseño de seguridad cuidadoso y a
unas buenas prácticas en su mantenimiento, apoyadas en la comunidad de usuarios.Comparativa de SO: en busca de la objetividad
A efectos prácticos, la seguridad de un SO se reduce a lo siguiente: disponer de un sistema del que uno se fía lo suficiente como para procesar información importante con él. Una confianza que puede verse afectada fácilmente.Si quitamos los aspectos humanos, lo que queda es la evidencia tecnológica. Los sistemas operativos, por formidable que sea su reputación, pueden estar mejor o peor diseñados en lo que a seguridad se refiere. Eso es bastante objetivo.
Para este intento de comparativa he elegido cuatro sistemas operativos. Son los más populares en equipos domésticos.
- Windows 7 / 8 (NT 6.x)
- Windows XP (NT 5.x)
- Ubuntu Linux
- Mac OS X
EAL, la puntuación que usan los gobiernos
La puntuación de seguridad EAL es un valor numérico que va de 1 a 7, y se asigna a partir de los estándares internacionales de Common Criteria, desarrollados por el gobierno de los Estados Unidos y otros países.La puntuación EAL no dice cuán seguro es un sistema, sino hasta qué nivel se ha probado y garantizado su seguridad. Son los fabricantes quienes solicitan estos análisis con mayor o menor profundidad.
El nivel EAL1 es el más básico, y significa que el programa se comporta según lo descrito en la documentación. Por otro lado, poquísimos programas y dispositivos solicitan y alcanzan el nivel máximo, que es el 7.
El sistema operativo empresarial z/OS de IBM ha obtenido una puntuación EAL5
La mayoría de los sistemas operativos aspiran a un nivel de seguridad EAL4,
que significa que se alcanza un buen nivel de seguridad con
flexibilidad de desarrollo suficiente. Cuando hay una seguridad mejor,
se puntúa con EAL4+.Veamos qué tal le ha ido a los sistemas elegidos:
| Windows 7 | Windows XP | Ubuntu Linux | Mac OS X 10.6 |
| EAL4+ | EAL4+ | (EAL4+) | EAL3+ |
En cuanto a Linux, hay versiones corporativas como Red Hat que sí han obtenido la certificación con el mismo resultado de Windows: EAL4+. ¿Por qué Ubuntu no tiene puntuación EAL?
RHEL es un sistema Linux con certificación EAL
Quizá porque no les interesa o porque no tienen el dinero suficiente.
Para obtener la certificación EAL, las empresas deben pagar un
laboratorio certificado por el gobierno de EEUU. A mayor nivel EAL
testeado, mayor gasto de dinero.La certificación EAL, en suma, dice qué tan competente es un sistema operativo en materia de seguridad, al menos sobre el papel, pero deja de lado muchos otros aspectos. Para contestarlos, hay que recurrir a otros datos.
Vulnerabilidades: el criterio cuantitativo
Otra forma de comparar la seguridad de los sistemas operativos es mirar cuántas vulnerabilidades conocidas y sin parchear hay hasta la fecha. Se trata de agujeros de seguridad que, en potencia, podrían usarse para comprometer la seguridad el sistema operativo, pero su gravedad es variable.Wikipedia recoge en una tabla las vulnerabilidades descubiertas por Secunia en los últimos años. Por razones de comodidad, las he dividido en dos grandes categorías: críticas y no-críticas.
| Windows 7 | Windows XP | Linux | Mac OS X | |
| Críticas | 2 | 11 | 0 | 1 |
| No-críticas | 3 | 31 | 17 | 7 |
Los datos proporcionados por CVE Details muestran para 2013 una cantidad de vulnerabilidades detectadas muy alta en el núcleo de Linux. Pero esto no implica que el sistema sea menos seguro; puede significar que lo auditan más.
| Windows 7 | Windows XP | Linux | Mac OS X | |
| 2013 | 69 | 58 | 128 | 25 |
En suma, estos números no parecen lo bastante concluyentes como para decantar el juicio hacia un sistema u otro. Hay que buscar la respuesta en otros factores externos al diseño de los sistemas operativos.
Factores externos: popularidad y educación
Hace
diez años, la respuesta a la pregunta inicial hubiera sido clara: “el
sistema más seguro es Unix / Linux”. Su arquitectura de seguridad era
superior a la de cualquier otro sistema operativo de Escritorio, y su pequeña comunidad de usuarios estaba concienciada con la seguridad desde el principio.Ahora esto ha cambiado. Windows, Linux tienen mecanismos de seguridad parecidos, y en algunos aspectos Windows 7/8 es incluso superior. Desde un punto de vista puramente técnico es difícil dar con un ganador (pero está claro que no es Mac OS X). Todos los SO principales son muy seguros.
Al tiempo que Windows se ha hecho más robusto, una parte de Linux se ha hecho muy popular. Ubuntu, la distribución de Linux más popular, es usada ahora por usuarios de todos los niveles, usuarios que a menudo ignoran la compleja arquitectura de seguridad que hay detrás de Linux.
¡Permisos de superusuario! Son tan fáciles de obtener y usar...
El usuario de Windows siempre ha tenido dificultades para entender
para qué sirve un cortafuegos o qué son los permisos de usuario. Linux, en cuanto sistema operativo usado también por principiantes, no se libra de este problema: hay usuarios que ejecutan procesos como superusuario con total despreocupación y ligereza.El foco de la seguridad se ha movido
En la última década, los sistemas operativos domésticos se han hecho más seguros, y las aplicaciones de seguridad, como antivirus y cortafuegos, se han hecho más sofisticados y capaces de suplir a las carencias de los sistemas.Pero justo ahora, cuando los sistemas han alcanzado un nivel de seguridad acepable, el foco se ha desplazado a los navegadores y a las aplicaciones web. El sistema operativo se ha vuelto de repente irrelevante. Ahora tus datos están el navegador.
Chrome OS, una demostración de que un sistema operativo puede ser "todo navegador"
Cuando me preguntan cuál es el sistema operativo más seguro, mi respuesta suele ser “el menos usado”. El criterio de popularidad es importante: los ataque se concentran allá donde hay más usuarios, datos y dinero.Es por eso que la discusión sobre qué sistema operativo es más seguro, aunque no ha perdido del todo relevancia, es menos urgente que antes. En este momento, tiene más sentido preguntarse cuál es el navegador más seguro.
No hay comentarios:
Publicar un comentario