No llores y… ¿pásate a Linux?
Menuda se ha liado con WannaCry. Y lo que queda. Pero en Linux estamos seguros, así que podemos dormirnos en los laureles con tranquilidad, que no hay nada que nos afecte. ¿O sí lo hay?
Fuera de bromas, el tema del ransomware se está poniendo serio y WannaCry es un recordatorio a página completa que habría que tener en consideración, pero sin alarmismos. Se trata de un suceso que se ha sobredimensionado más por las multinacionales que han sido afectadas que por el impacto real del ataque.
El impacto de la noticia, sin embargo, ha sido de los grandes. Y aunque está bien tomárselo con humor y aprovechar la oportunidad para “pinchar” con el meme de turno, lo que no está tan bien es creérselo. Nada conectado a Internet es cien por cien seguro y no hace falta ser un experto para entender esto.
Por lo tanto, cargar contra Windows por la explotación de una vulnerabilidad que ya fue parcheada y que, como explica Chema Alonso, aún es susceptible de generar incidencias debido a las políticas corporativas, es tan necio como cargar contra Linux por cosas como Heartbleed que ni siquiera se originan por una vulnerabilidad de Linux (por cierto, justo en ese artículo también está Chema Alonso como fuente y explica perfectamente el asunto; aun así, Heartbleed ha quedado para la posteridad como un agujero de Linux).
Pero que nadie lo entienda mal. Cuando damos consejos básicos de seguridad y decimos cosas como que en Linux no es necesario hacer mucho para estar “más tranquilos que en el Windows más blindado”, lo hacemos en consecuencia con la realidad que nos rodea. Esto es, el día a día de un usuario corriente que sin ser un experto actúa con sentido común, mantiene actualizado su sistema (en GNU/Linux basta con darle a un botón para tenerlo todo actualizado; en Windows se empieza a centralizar, pero aún queda mucho), no instalar software de fuentes no confiables, etc.
Es decir, un usuario corriente que, actuando en consecuencia, también se puede despistar por un momento y caer víctima de algún malware. Para ese tipo de usuario el sistema de permisos, de repositorios y de actualizaciones de Linux aporta una capa de protección adicional a la que ofrece Windows. Sin embargo, ni todos los problemas de seguridad tienen que ver con el sistema operativo que se use, ni casos como el de WannaCry son significativos para calificar de precaria la seguridad de Windows estando el parche disponible.
Windows ha mejorado mucho en seguridad, aunque sea a la fuerza y correctamente administrado no tiene por qué suponer un riesgo, aunque riesgo siempre haya. Otra cosa es hablar de los millones de Windows XP que todavía funcionan en áreas sensibles, y otra en la que no cabe discusión es en cuanto a privacidad: ahí Windows no es en absoluto de fiar porque no es software libre.
Pero en materia de seguridad no hay absolutos que valgan y estar conectado significa estar expuesto. También se ha descubierto ransomware “para Linux”, troyanos y todo tipo de malware.
Entonces, ¿Linux no te va a salvar del ransomware y la condena de Windows es su popularidad? Era inevitable que mencionase el artículo de la polémica de mi colega Javier Pastor en Xakata, porque sin venir a cuento alguien lo puso en los comentarios de otro nuestro que, insisto, nada tenía que ver, y vaya si se lió. Lo curioso es que coincidió que mencionaba a Picajoso y no suelo hacerlo. ¿O tal vez no fue coincidencia?
Sea como fuere, leí el artículo y alguno de los comentarios, no todos, porque si aquí se lió, allí hubo reventón. Personalmente estoy de acuerdo con el fondo del asunto, que no hay nada seguro; pero no con la forma. Por ejemplo, creo que la lista CVE de vulnerabilidades no sirve para realizar una comparación en ningún caso, pues está tan sesgada como ofuscado el código de Windows con respecto al de Linux. A mi modo de ver ni siquiera sirve como indicativo.
Pero es que tampoco la cuota de mercado vale como excusa en esta ocasión, porque por el enfoque del ransomware, cuyo propósito es cobrar un rescate por los datos secuestrados, parece más coherente pensar que el objetivo principal del ataque sean clientes corporativos, que son los que pueden pagar grandes sumas. No usuarios de a pie. ¿Y dónde hay más datos sensibles que en un servidor? ¿Y qué pasa si convertimos las estadísticas de uso de Windows vs Linux en PC a servidores? Se invierten automáticamente. Y sí, también se ataca a los servidores.
La diferencia entre servidores y PC es que los primeros están administrados por profesionales que saben lo que hacen y los segundos… Pues también en el caso de las empresas y muy especialmente en el caso de las grandes empresas. El artículo de marras no fue del todo afortunado, eso hay que reconocerlo. Pero de ahí a las barbaridades que he leído hay un trecho. Un poco de respeto.
En definitiva, la historia a estas alturas de la película no es que si Windows o Linux, porque Windows y Linux funcionan en constante interacción con decenas de componentes que son susceptibles de ocasionar problemas de seguridad. Es un asunto muy complicado como para banalizarlo en plan blanco o negro excepto, repito, cuando se hace con humor.