Las empresas invierten mucho tiempo, esfuerzo y dinero en mantener sus sistemas seguros. Las más conscientes de la seguridad pueden tener un centro de operaciones de seguridad. Por supuesto, utilizan cortafuegos y herramientas antivirus. Probablemente pasen mucho tiempo supervisando sus redes, buscando anomalías reveladoras que puedan indicar una brecha. Con IDS, SIEM y NGFWs, despliegan un verdadero alfabeto de defensas.
Pero, ¿cuántos han pensado mucho en una de las piedras angulares de sus operaciones digitales: los sistemas operativos desplegados en los PC de los trabajadores? ¿Se ha tenido en cuenta la seguridad a la hora de elegir el sistema operativo de los ordenadores de sobremesa? ¿Qué sistema operativo es el más seguro para el despliegue general?
Hemos preguntado a algunos expertos qué opinan de la seguridad de estas tres opciones: Windows, la plataforma cada vez más compleja que es fácilmente el sistema de escritorio más popular; macOS X, el sistema operativo basado en FreeBSD Unix que impulsa los sistemas Macintosh de Apple; y Linux, con el que nos referimos a todas las diversas distribuciones de Linux y sistemas relacionados basados en Unix.
Cómo hemos llegado hasta aquí
Una de las razones por las que las empresas podrían no haber evaluado la seguridad del sistema operativo que desplegaron en la plantilla es que hicieron la elección hace años. Si nos remontamos lo suficiente, todos los sistemas operativos eran razonablemente seguros, porque el negocio de piratearlos y robar datos o instalar malware estaba en sus inicios. Y una vez que se ha elegido un sistema operativo, es difícil considerar un cambio. Pocas organizaciones de TI querrían el dolor de cabeza que supone trasladar una plantilla dispersa por todo el mundo a un sistema operativo completamente nuevo. Ya reciben suficientes críticas cuando cambian a los usuarios a una nueva versión de su sistema operativo.
Aún así, ¿sería prudente reconsiderarlo? ¿Son los tres principales sistemas operativos de escritorio lo suficientemente diferentes en su enfoque de la seguridad como para que el cambio merezca la pena?
Ciertamente, las amenazas a las que se enfrentan los sistemas empresariales han cambiado en los últimos años. Los ataques se han vuelto mucho más sofisticados. El hacker adolescente solitario que una vez dominó la imaginación del público ha sido suplantado por redes bien organizadas de delincuentes y organizaciones financiadas por el gobierno con vastos recursos informáticos.
Como muchos de ustedes, tengo experiencia de primera mano de las amenazas que existen: He sido infectado por malware y virus en numerosos ordenadores con Windows, e incluso tuve macrovirus que infectaron archivos en mi Mac. Más recientemente, un hackeo automático generalizado burló la seguridad de mi sitio web y lo infectó con malware. Los efectos de este tipo de malware siempre eran inicialmente sutiles, algo que ni siquiera se notaba, hasta que el malware acababa tan profundamente incrustado en el sistema que el rendimiento empezaba a resentirse notablemente. Una cosa sorprendente sobre las infestaciones es que nunca fui el objetivo específico de los malhechores; hoy en día, es tan fácil atacar 100.000 ordenadores con una red de bots como atacar una docena.
¿Importa realmente el sistema operativo?
El sistema operativo que despliegue a sus usuarios marca la diferencia en su postura de seguridad, pero no es una salvaguarda segura. Por un lado, hoy en día es más probable que una brecha se produzca porque un atacante haya sondeado a sus usuarios, no a sus sistemas. Una encuesta realizada a los hackers que asistieron a una reciente conferencia de DEFCON reveló que «el 84% utiliza la ingeniería social como parte de su estrategia de ataque». El despliegue de un sistema operativo seguro es un punto de partida importante, pero sin la educación de los usuarios, cortafuegos fuertes y vigilancia constante, incluso las redes más seguras pueden ser invadidas. Y, por supuesto, siempre existe el riesgo del software descargado por el usuario, las extensiones, las utilidades, los complementos y otros programas que parecen benignos, pero que se convierten en una vía para que aparezca el malware en el sistema.
Y sea cual sea la plataforma que elija, una de las mejores formas de mantener su sistema seguro es asegurarse de aplicar las actualizaciones de software con prontitud. Al fin y al cabo, una vez que un parche está en circulación, los piratas informáticos pueden realizar ingeniería inversa y encontrar un nuevo exploit que puedan utilizar en su próxima oleada de ataques.
Y no olvide lo básico. No uses root, y no concedas acceso de invitado a los servidores más antiguos de la red. Enseñe a sus usuarios a elegir contraseñas realmente buenas y ármelos con herramientas como 1Password que les facilite tener contraseñas diferentes en cada cuenta y sitio web que utilicen.
Porque la conclusión es que cada decisión que tome con respecto a sus sistemas afectará a su seguridad, incluso el sistema operativo en el que sus usuarios realicen su trabajo.
Windows, la elección popular
Si usted es un gestor de seguridad, es muy probable que las preguntas planteadas por este artículo se puedan reformular así: ¿Estaríamos más seguros si nos alejáramos de Microsoft Windows? Decir que Windows domina el mercado empresarial es quedarse corto. NetMarketShare calcula que un asombroso 88% de todos los ordenadores de Internet utilizan una versión de Windows.
Si sus sistemas forman parte de ese 88%, probablemente sepa que Microsoft ha seguido reforzando la seguridad del sistema Windows. Entre sus mejoras ha estado reescribir y reescribir la base de código de su sistema operativo, añadir su propio sistema de software antivirus, mejorar los cortafuegos e implementar una arquitectura de caja de arena, en la que los programas no pueden acceder al espacio de memoria del sistema operativo o de otras aplicaciones.
Pero la popularidad de Windows es un problema en sí mismo. La seguridad de un sistema operativo puede depender en gran medida del tamaño de su base instalada. Para los autores de malware, Windows ofrece un enorme campo de juego. Concentrarse en él les permite sacar el máximo provecho de sus esfuerzos.
Como explica Troy Wilkinson, director general de Axiom Cyber Solutions, «Windows siempre ocupa el último lugar en el mundo de la seguridad por una serie de razones, principalmente por la tasa de adopción de los consumidores. Con un gran número de ordenadores personales basados en Windows en el mercado, los hackers históricamente han apuntado más a estos sistemas».
Es ciertamente cierto que, desde Melissa hasta WannaCry y más allá, gran parte del malware que el mundo ha visto ha estado dirigido a los sistemas Windows.
macOS X y la seguridad a través de la oscuridad
Si el sistema operativo más popular siempre va a ser el mayor objetivo, entonces ¿puede el uso de una opción menos popular garantizar la seguridad? Esa idea es una nueva toma del viejo -y totalmente desacreditado- concepto de «seguridad a través de la oscuridad», que sostenía que mantener el funcionamiento interno del software propietario y, por lo tanto, secreto, era la mejor manera de defenderse de los ataques.
Wilkinson afirma rotundamente que macOS X «es más seguro que Windows», pero se apresura a añadir que «macOS solía considerarse un sistema operativo totalmente seguro, con pocas posibilidades de que se produjeran fallos de seguridad, pero en los últimos años hemos visto cómo los piratas informáticos han elaborado más exploits contra macOS.»
En otras palabras, los atacantes se están ramificando y no están ignorando el universo Mac.
El investigador de seguridad Lee Muson, de Comparitech, dice que «es probable que macOS sea el más elegido» cuando se trata de elegir un sistema operativo más seguro, pero advierte que no es impenetrable, como se pensaba antes. Su ventaja es que «todavía se beneficia de un toque de seguridad a través de la oscuridad frente al objetivo aún mucho mayor que presenta la oferta de Microsoft.»
Joe Moore, de Wolf Solutions, da a Apple un poco más de crédito, diciendo que «fuera de la plataforma, macOS X tiene un gran historial cuando se trata de la seguridad, en parte porque no es tan ampliamente dirigido como Windows y en parte porque Apple hace un trabajo bastante bueno de permanecer en la cima de los problemas de seguridad.»
Y el ganador es …
Probablemente usted sabía esto desde el principio: El claro consenso entre los expertos es que Linux es el sistema operativo más seguro. Pero mientras que es el sistema operativo de elección para los servidores, las empresas que lo despliegan en el escritorio son pocas y distantes entre sí.
Y si usted decidió que Linux era el camino a seguir, todavía tendría que decidir qué distribución del sistema Linux elegir, y las cosas se complican un poco más allí. Los usuarios van a querer una interfaz de usuario que les resulte familiar, y usted va a querer el sistema operativo más seguro.
Como explica Moore, «Linux tiene el potencial de ser el más seguro, pero requiere que el usuario sea algo así como un usuario avanzado». Por lo tanto, no es para todo el mundo.
Las distros de Linux que tienen como objetivo la seguridad como característica principal incluyen Parrot Linux, una distro basada en Debian que, según Moore, proporciona numerosas herramientas relacionadas con la seguridad nada más sacarla de la caja.
Por supuesto, un diferenciador importante es que Linux es de código abierto. El hecho de que los programadores puedan leer y comentar el trabajo de los demás podría parecer una pesadilla para la seguridad, pero en realidad resulta ser una razón importante por la que Linux es tan seguro, dice Igor Bidenko, CISO de Simplex Solutions. «Linux es el sistema operativo más seguro, ya que su fuente es abierta. Cualquiera puede revisarlo y asegurarse de que no hay bugs o puertas traseras»
Wilkinson explica que «los sistemas operativos basados en Linux y Unix tienen menos fallos de seguridad explotables conocidos por el mundo de la seguridad informática. El código de Linux es revisado por la comunidad tecnológica, lo que se presta a la seguridad: Al tener tanta supervisión, hay menos vulnerabilidades, errores y amenazas»
Esta es una explicación sutil y tal vez contraria a la intuición, pero al tener docenas -o a veces cientos- de personas que leen cada línea de código en el sistema operativo, el código es en realidad más robusto y la posibilidad de que los fallos se cuelen en la naturaleza disminuye. Esto tiene mucho que ver con el hecho de que PC World dijera directamente que Linux es más seguro. Como explica Katherine Noyes, «Microsoft puede pregonar su gran equipo de desarrolladores pagados, pero es poco probable que ese equipo pueda compararse con una base global de usuarios-desarrolladores de Linux en todo el mundo. La seguridad sólo puede beneficiarse a través de todos esos ojos adicionales».
Otro factor citado por PC World es el mejor modelo de privilegios de usuario de Linux: Los usuarios de Windows «suelen tener acceso de administrador por defecto, lo que significa que prácticamente tienen acceso a todo en el sistema», según el artículo de Noyes. Linux, en cambio, restringe en gran medida el «root»»
Noyes también señaló que la diversidad posible dentro de los entornos Linux es una mejor protección contra los ataques que el típico monocultivo de Windows: Simplemente hay muchas distribuciones diferentes de Linux disponibles. Y algunas de ellas están diferenciadas de forma que abordan específicamente los problemas de seguridad. El investigador de seguridad Lee Muson, de Comparitech, ofrece esta sugerencia para una distribución de Linux: «El sistema operativo Qubes es el mejor punto de partida con Linux que se puede encontrar ahora mismo, con un respaldo de Edward Snowden que eclipsa enormemente sus propias afirmaciones extremadamente humildes». Otros expertos en seguridad apuntan a distribuciones de Linux seguras y especializadas, como Tails Linux, diseñada para ejecutarse de forma segura y anónima directamente desde una unidad flash USB o un dispositivo externo similar.
Creando el impulso de la seguridad
La inercia es una fuerza poderosa. Aunque existe un claro consenso de que Linux es la opción más segura para el escritorio, no se ha producido una estampida para abandonar las máquinas Windows y Mac en su favor. No obstante, un aumento pequeño pero significativo de la adopción de Linux probablemente daría lugar a una informática más segura para todos, porque la pérdida de cuota de mercado es una forma segura de llamar la atención de Microsoft y Apple. En otras palabras, si un número suficiente de usuarios se pasa a Linux en el escritorio, es muy probable que los ordenadores Windows y Mac se conviertan en plataformas más seguras.