Seguridad con linux

España es uno de los países menos rigurosos con la seguridad informática, por cuestiones económicas, de uso de programas pirata y por la pobre implantación de linux, el sistema operativo más seguro. Mención aparte sería el entorno empresarial, donde linux sí domina en muchas empresas, se lo toman un poco más en serio porque el gasto en seguridad informática en muchos casos supone la mayor partida dentro del presupuesto informático: técnicos más especializados, hardware empresarial, y los programas, existen programas gratuitos que pueden elevar bastante su coste sólo por incorporar alguna medida de seguridad. Linux para empresas es reconocido como un sistema muy seguro y es el preferido para determinadas tareas como servidor web, bases de datos Mysql, etc., quedando Windows para los casos en los que es de imperiosa necesidad por compatibilidad con algún otro programa Windows. Linux tiene la particularidad de que todos los programas empresariales son libres y gratuitos, salvo en la necesidad de utilizar el servicio técnico, aun contratando informáticos con los suficientes conocimientos el ahorro puede ser importante.

A pesar de todo, en España podemos encontrar bancos online con un acceso simple de pocos números como ActivoBank (Banco Sabadell) o ING Direct y su producto estrella la Cuenta Naranja, si bien es cierto que este no permite las transferencias sí que un atacante podría ver los movimientos y realizar ciertas operaciones. Otro banco como Cajamar, la caja rural más importante en España, fue de los primeros en incorporar el servicio de banca electrónica, pero durante muchos años el acceso sólo requería un nombre de usuario y contraseña, más tarde incorporaron el sistema de tarjeta de claves para las operaciones, y hace poco cambiaron a una petición de un número por SMS para operaciones con tarjeta, aunque la petición de un número la tarjeta de claves por SMS nos parece un sistema de seguridad más apropiado que debió estar desde el comienzo.

Hacker

Muchas empresas españolas utilizaban servidores web Windows fácilmente hackeables, incluso muchos meses después de hacerse público el programa que sacó el probablemente más famoso hacker español, un gallego apodado QuickBasic, como su nombre indica creó un programa Windows accesible para todo el mundo que explotaba una conocida vulnerabilidad, muchos hackers le señalaron como un seudohacker que se limitaba a leer páginas web sobre hacking. QuickBasic tuvo la osadía de hackear páginas web de conocidas instituciones, empresas y periódicos españoles, y la respuesta no se hizo esperar: un amplio dispositivo de la Guardia Civil acabó con su aventura. Este caso más que una hazaña policial pareció más lo de “matar al mensajero” o, peor aún, una chivo expiatorio para hacer creer que “muerto el perro, se acabó la rabia”, cuando los verdaderos culpables eran Windows y las empresas que lo utilizaban.

Hoy día ha crecido la cantidad de sistemas y programas para explotar las vulnerabilidades de internet y los dispositivos. En los grandes medios se da información sobre lanzamientos comerciales, pero poca sobre seguridad, menos aún de linux. Ejemplos como el masivo hackeo de las contraseñas de los servicios de Google (Gmail), contraseñas que poseían los atacantes desde hacía varios años antes de salir a la luz y que no tuvo una gran repercusión informativa a pesar del importante número de afectados. Otro gran ataque contra los servicios online de Apple se centró en las fotos de desnudos robadas a las estrellas de Hollywood. Si no es por el escaso interés de los espectadores españoles, es que hay muchos intereses económicos y publicitarios en juego… cualquiera de las dos opciones es mala.

Los fallos de seguridad también hay que achacarlos al interés de las empresas por dar servicios lo más cómodos posibles al consumidor, por ejemplo al no obligar a un cambio de contraseña temporal o dejando elegir contraseñas sencillas o al permitir accesos desde cualquier dispositivo, algo que no suele encajar con la seguridad. En el extremo de la seguridad, como debe ser nos encontramos con el DNI electrónico español, debe ser seguro pero no a costa de una complicada configuración o incluso dejando de funcionar en algunas webs oficiales.

Correo basura

El spam es otro de los grandes problemas, publicidad en correos electrónicos no deseados, y las estafas agravadas con la suplantación de identidad y el uso de datos personales recabados de las redes sociales. Por ejemplo los correos de aviso de un ingreso urgente en una red social o de un banco para robar la contraseña. Hasta hace poco el diario El País ofrecía un servicio de blogs gratuito que sufrió un ataque constante de spam en blogs, o splog, el atacante o los atacantes daban de alta infinidad de blogs automáticamente con texto irrelevante. La solución del diario fue esperar hasta que cerró el servicio.

Este tipo de ataques en ocasiones es muy difícil de combatir cuando el atacante utiliza ordenadores zombis (programas troyanos que han instalado sin querer miles de usuarios), que se manejan a distancia desde distintos lugares y países. Por esto también es importante que los usuarios utilizasen sistemas operativos más seguros como linux. Igual ocurre a nivel empresarial, de poco nos vale que nuestros datos estén a salvo en unas pocas empresas que se toman la seguridad más en serio si luego pueden hackear fácilmente los ordenadores de las empresas a las que los han cedido o vendido o de las que se los hemos dado otra vez para una compra o contratar un producto.

Cuidado con el Wi-Fi Gratis
Cuidado con el Wi-Fi Gratis

En un mundo dominado por los servicios online vía navegador, en ocasiones es poco lo que un usuario puede hacer con linux, contra estos fallos de seguridad online la única recomendación es seguir las reglas generales de seguridad y las noticias sobre los nuevos ataques para evitarlos. Por otra parte, la seguridad en informática es un concepto global, el sistema operativo y los programas instalados es una de las partes importantes, pero hasta se puede colar alguien directamente en la red Wifi (de ocurrir este caso todo trafico Wifi que no vaya por conexiones seguras sería de fácil interceptación) o hackear la señal de los teclados inalámbricos, que poco puede tener que ver con nuestro sistema operativo.

La seguridad se debe tomar como un problema estadístico, es imposible estar 100% seguros, y siguiendo unas serie de reglas, publicadas en muchas páginas, podemos estar relativamente tranquilos. Eso sí, los virus, troyanos y en general los programas que se instalan para atacar ordenadores personales, la inmensa mayoría funcionan sólo en Windows y explotan sus muchos fallos de seguridad. Aunque se tengan los antivirus estos están sólo cerca del porcentaje de aciertos total, además buscan virus desconocidos por una estimación aproximada y en ocasiones alertan de falsos positivos, dando más problemas de los que quitan. En linux no es necesario un antivirus salvo para los servidores de correo empresariales con usuarios Windows.

Virus informático

Con linux nos podemos encontrar más seguros, entre otras cosas, porque el sistema operativo requiere una clave de seguridad para el acceso a las partes críticas del sistema, además de que las actualizaciones de seguridad del sistema operativo y de “todos” los programas que hayamos instalado se hace de manera centralizada y automática, programas que son supervisados constantemente por expertos de la distribución y por el resto de la comunidad linux.

Tampoco es difícil saltarse las recomendaciones en linux, es habitual instalar repositorios de paquetes no oficiales (incluso desde los servidores de la distribución), cuando no es difícil publicar paquetes en repositorios populares o crear un repositorio propio, con firmas digitales y cumpliendo todas las reglas, pero estos paquetes generalmente no se puede afirmar que sean totalmente seguros, ni que estén mantenidos como los oficiales. Otras veces puede que los paquetes sean programas patentados o no estén compilados con todas las características activadas, ya que muchos programas linux suelen permitir estas opciones a la hora de compilar, por ejemplo, un reproductor multimedia se puede hacer más seguro al compilarlo sin opciones de red. Para uso particular podemos empaquetar o instalar programas por nuestra cuenta, pero los soportes técnicos de los linux comerciales, como el de Red Hat que seria la referencia comercial, especifican que no incluyen casos cuando está implicado un paquete fuera de los oficiales, ni siquiera en el caso de haber instalado alguna dependencia para un programa grande.

Película La Conversación

La libertad individual y la seguridad general chocan, por ejemplo el gobierno de España obliga a los prestadores de conexiones a internet a guardar ciertos datos de todas las conexiones de todos sus usuarios hasta 12 ó 24 meses; también a veces a los españoles se les impide el acceso a determinadas páginas web como The Pirate Bay (buscador de archivos piratas); otras veces aparecen noticias sobre puertas traseras de las agencias de inteligencia, como en la red Tor (programa libre para la navegación anónima): pederastas, mafias, terroristas, etc. son habituales en esta red paralela… aunque como es habitual en informática la red Tor es sólo una de las formas de anonimato (de pago o gratuitas) que se pueden emplear. Las empresas también recavan datos de los usuarios para venderlos a terceras empresas o personalizar campañas de publicidad porque se las pagan mejor, convirtiéndose en uno de los modelos de negocio de moda. La privacidad en la red se toma muy en serio porque, aunque algunos se sienten a gusto siendo vigilados, gran parte de los usuarios prefieren una red libre al menos como estar en su casa o en la calle.

Para una seguridad extrema podemos seguir los consejos de Richard Stallman: instalar un linux completamente libre, no comprar online, no tener móvil, no utilizar las redes sociales, no usar correos ni servicios online, … pero eso supone vivir como un ermitaño de las nuevas tecnologías, además Stallman está seguro de que es espiado por el gobierno estadounidense. Otro ejemplo de seguridad extrema es el CNI español, aconseja hasta encerrar los equipos en jaulas de Faraday para prevenir posibles intrusiones a distancia por medio de la captación de las ondas electromagnéticas irradiadas por el sistema informático de una empresa.

Puede que la solución sea ser algo paranoico, como en otros países se asegura debe ser el informático ideal aunque me temo que en España se les haría menos caso aún a los infravalorados informáticos. Seguridad informática y usabilidad o comodidad son conceptos antagónicos, y generalmente se prefiere la comodidad… hasta que ya sea demasiado tarde.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s