Trucos para un PC más seguro: Vista vs. GNU/Linux

La reputación y los orígenes de GNU/Linux han hecho pensar que se trataba de una alternativa más segura que Vista, incluso a pesar de las mejoras introducidas con el Service Pack 1. ¿Es esto cierto? Veámoslo

Trucos para un PC más seguro: Vista vs. GNU/Linux

29 enero 2009

Los desarrolladores de Windows Vista siempre han defendido las ventajas de seguridad introducidas en esta edición del sistema operativo. Su particular visión (a su favor, claro está) frente a la competencia queda recogida tanto en los documentos publicados en los blogs corporativos de sus empleados como en aquellas webs que comparan continuamente ambas alternativas.

Un ejemplo perfecto fue su sitio Get the facts, que atacaba frontalmente a soluciones como Linux y que debido a la polémica fue sustituido por otro más «comedido» centrado en comparar sobre todo entornos empresariales (www.microsoft.com/windowsserver/compare/default.mspx).

Frente a ellos, los defensores de GNU/Linux afirman que esta alternativa es mucho más segura que Windows Vista, especificando todo tipo de argumentos que afectan tanto a la propia arquitectura interna del sistema como a estudios públicos y supuestamente objetivos que tratan de estudiar esta cuestión. Entonces, ¿cuál de las dos alternativas es más segura?

Linux muestra sus cartas

Las distintas distribuciones Linux tienen a su favor la herencia de los sistemas operativos Unix, que han trasladado su robustez y estabilidad a las soluciones GNU/Linux. Entre los factores que hacen que Linux gane enteros en este terreno están los siguientes:

1. Mejores herramientas de actualización. Mientras que en Windows las actualizaciones automáticas sólo afectan a componentes del sistema operativo, en Linux lo hacen a todos sus componentes, incluso si son aplicaciones de terceros, que también se actualizarán.

2. Mejor configuración por defecto. La concepción original de Linux como sistema multiusuario ha hecho que la arquitectura de permisos y privilegios sea más robusta. Vista ha dado grandes pasos en este apartado; pero, por ejemplo, la implementación del User Account Control es claramente inferior al sistema implícito en GNU/Linux, que se ha beneficiado de características adicionales como PolicyKit de GNOME 2.22 y versiones superiores.

3. Diseño modular. Ventaja de la arquitectura de Linux que hace que sea menos problemático desactivar componentes y características que puedan perjudicar al resto del sistema. En Windows Server 2008 sí hemos visto esta propiedad, pero Vista mantiene aún una concepción monolítica.

4. Ataques Zero-Day. Este tipo de vulnerabilidades son las que afectan a componentes y aplicaciones para las que aparecen exploits antes de que los desarrolladores puedan corregirlas. En Vista, su corrección ha mejorado respecto a XP, sobre todo para Internet Explorer, pero en Linux disponemos de soluciones como AppArmor y SELinux que permiten gestionar la granularidad de diversos apartados de seguridad al límite.

Vista aprende de sus errores

Con la publicación del SP2 para Windows XP, Microsoft demostró que uno de los focos de atención más importantes para sus desarrolladores era la seguridad. Así lo demandaban empresas y usuarios. De hecho, Windows XP SP2 se ha convertido probablemente en el sistema operativo más extendido y reputado (al menos por parte de los usuarios) de Microsoft. Con Vista, han querido ir aún más allá, introduciendo algunas características novedosas destinadas a reforzar este apartado.

Lamentablemente, muchas de ellas no fueron implementadas con acierto, siendo el ejemplo más recurrente el mecanismo UAC de control de cuentas que gestiona los privilegios de cada usuario para dar acceso o no a ciertas operaciones. Su puesta en escena fue desastrosa, aunque la llegada del Service Pack 1 ha mejorado esta y otras funciones de seguridad.

Otro ejemplo de la relevancia de este apartado es el cifrado BitLocker, que también ha madurado y que proporciona un sistema muy aceptable a la hora de proteger los contenidos de nuestros discos duros. Obviamente, podemos conseguirlo con soluciones de terceros, y hace tiempo ya que Linux acepta sistemas de ficheros cifrados. Por ejemplo, Ubuntu 8.10 incluye una carpeta cifrada por defecto para cada usuario en sus directorios raíz.

Otras soluciones en Vista también ayudan: su cortafuegos es más potente que el de XP, y Windows Defender supone una barrera efectiva (al menos, una primera barrera) contra cierto tipo de amenazas. Aunque las mejoras de seguridad son apreciables, no parece estar evitando que sigan apareciendo vulnerabilidades críticas en muchos de sus componentes. Con todo, parece que van por buen camino, y tanto el SP2 de Vista como Windows 7 deben refrendar esa tendencia.

Los estudios no ayudan

A pesar de que es posible consultar informes públicos emitidos por diversas consultoras de seguridad o expertos en la materia, normalmente las opiniones vertidas no son del todo imparciales, lo que hace que tengamos que mirar esas estadísticas con lupa.

Un buen ejemplo es un estudio de junio de 2007 que tuvo una gran cobertura y que fue realizado por Jeff Jones, un empleado de Microsoft dedicado a este tipo de materias. El informe que redactó (http://blogs.csoonline.com/windows_vista_6_month_vulnerability_report) estudiaba el número de vulnerabilidades que habían aparecido para varios sistemas operativos durante sus seis primeros meses de vida.

A partir de ahí, se destacaban cuántas de esas vulnerabilidades habían sido corregidas y cuántas seguían sin serlo, o incluso anunciadas de forma pública. Las conclusiones apuntaban a Vista como vencedor frente a XP, Mac OS X 10.4 y varias soluciones Linux, que también quedaban peor que XP o Mac OS. Lo criticable de este estudio es que sólo se apuntaba al número de vulnerabilidades y no a su importancia.

Algo similar ocurre con los datos de Secunia, más relevantes para la mayoría de expertos en seguridad. Este organismo dispone de informes actualizados que estudian la seguridad de soluciones como Vista (http://secunia.com/advisories/product/13223/?task=statistics_2008) o sistemas Linux basados en núcleos 2.6.x (http://secunia.com/advisories/product/2719/?task=statistics_2008).

Según sus datos, Vista se ha visto afectado por menos vulnerabilidades: 71 en lo que llevamos de 2008 por 279 detectadas en Linux. No obstante, en las vulnerabilidades específicamente estudiadas por Secunia, había un porcentaje muy preocupante que eran importantes o críticas en Vista (un 27%) comparadas con las que había en Linux, que no tenían ninguna importante o crítica (17% del total con una importancia moderada).

Por lo tanto, no sólo importa el número de vulnerabilidades (factor que favorece a Vista), sino su peligrosidad. Por otro lado, puede que aparezca mayor número de problemas en Linux, pero la inmensa mayoría de ellos (un 83%) tienen poca o ninguna relevancia en la seguridad según los informes de Secunia.

¿Existen los virus en linux?

A pesar de lo que muchos puedan pensar, sí que existen. Hay muchos menos que para sistemas operativos Windows, pero su presencia es real desde hace años. En Kriptópolis (www.kriptopolis.org/virus-en-linux-y-ii), realizaron un excelente análisis de este desconocido aspecto de GNU/Linux que os recomendamos leer, y que explica los tipos de virus que son más comunes y explotados.

Además, se preguntan por qué ese número de virus es tan bajo. La respuesta parece obvia, tanto el propio perfil del usuario de Linux (tradicionalmente más avanzado que el de Windows) como la filosofía Open Source son factores importantes, pero es evidente que hay otro aún más relevante: crear un virus para Windows ofrece más beneficios (tanto económicos como a nivel del ego del creador del virus) que para Linux.