Por Fausto Cepeda

El mes pasado, Secunia ofreció su reporte llamado “An empirical analysis of the patching challenge faced by the average private user”, que traduciéndolo diría algo así como “La tarea casi imposible de mantener un sistema al día”.

Secunia es una empresa que ofrece varios productos y servicios relacionados a las vulnerabilidades de software y también realiza trabajo de investigación en el mismo tema.

Esta empresa ofrece una herramienta gratuita (para Windows) llamada PSI (Personal Software Inspector), orientada a revisar un sistema de un usuario final y reportar parches (o en su caso) versiones faltantes de aplicaciones y el sistema operativo. De esta herramienta se extrajo información que ayudó a elaborar el reporte en cuestión.

En general, llamó mi atención la siguiente cifra: el usuario final promedio tiene alrededor de 66 programas instalados, provenientes de -más o menos- 22 fabricantes de software.

Lo anterior significa (a grandes rasgos) que el usuario promedio (de Windows) debe estar al pendiente de lo que 22 diferentes fabricantes de software publican en cuestión de parches y nuevas versiones para sus programas. Es de todos conocido que cada fabricante tiene diferentes esquemas de parchado (asumiendo que de hecho los tienen): unos parchan cada mes, otros publican nuevas versiones poco después de que sale una debilidad crítica y otros más esperan un tiempo para sacar sus parches “cumulativos”.

Secunia nos comenta que de su muestra, el 50% de usuarios se vieron afectados por alrededor de 80 actualizaciones a lo largo de 12 meses (en base a sus aplicaciones instaladas). Por otro lado, Secunia también nos dice que hablando de cifras generales, podríamos decir que muchos usuarios deben de actualizar/parchar alguna de sus aplicaciones o sistema operativo cada 5 días, o bien, llevar a cabo esta tarea 75 veces al año.

Algunas actualizaciones son automáticas, otras más serán manuales; algunas serán acompañadas de avisos y otras más tendrán que ser buscadas por el usuario en las páginas web de los fabricantes.

Puntualicemos: los datos de Secunia se extrajeron de su herramienta instalada en equipos de cómputo; es de suponer que los usuarios que tienen esta herramienta instalada se preocupan de una u otra forma por la seguridad de su sistema que los lleva a instalar una herramienta que (mundialmente) no es la más popular.

Lo anterior puede tener varias implicaciones; una de ellas podría ser que no es totalmente representativa. Pero lo anterior nos distraería del punto principal que es la tarea molesta, frecuente y a veces desconocida de parchar/actualizar.

Ya sea que se tengan 25, 50 ó 100 aplicaciones instaladas (y claro, el sistema operativo), lo cierto es que varias de ellas deberán de actualizarse para mantener al día el sistema. Se puede decir que el tener un antivirus y un firewall personal instalado (entre otras protecciones) pueden mitigar el riesgo de dejar a la deriva a un sistema en cuestión de actualizaciones, pero vaya, en lo personal me pondría nervioso dejar al SO/aplicaciones caducas aún con protecciones adicionales.

Los diversos esquemas de actualización y sus diferentes frecuencias dejan al usuario promedio en un estado de eterna persecución por el nuevo parche o versión.

En mi opinión, un esquema “exitoso” es aquél que actualiza automáticamente y donde el fabricante la empuja (a discusión estaría si es mejor pedir permiso o no al usuario). Cabe mencionar que este esquema “exitoso” no es usado por todos los fabricantes, por lo que igual hay que estar persiguiendo los parches. Y digo que es un esquema –entre comillas- “exitoso” porque en principio y en un mundo ideal (e inexistente, al menos actualmente), deberíamos de tener un software de calidad desde el punto de vista de seguridad que requiriera si bien no nulas actualizaciones, al menos un número muy reducido de debilidades que debieran de ser parchadas.

¿Y usted, cómo mantiene su sistema al día?

Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM, CCM. Es Maestro de Seguridad de la Información por la Universidad de Londres en el Reino Unido. Ha sido Consultor de Seguridad y actualmente es Analista de Sistemas en la Oficina de Seguridad Informática del Banco de México. También cuenta con la certificación de seguridad CISSP (Certified Information Systems Security Professional.