Categorías: Seguridad

Inseguridad en los grades productores de software

Desde hacía tiempo, el inconsciente colectivo (es decir, la opinión pública que se mueve por lo que lee, le cuentan o escucha) consideraba que los principales productores voluntarios de “bugs” en los sistemas que se programan debían ser pequeños estudios de software o desarrolladores individuales no muy preocupados por su prestigio y sin una marca reconocida que proteger.

Y es que la lógica nos indica que las grandes corporaciones de software (Adobe, Apple, Microsoft, Sun, Cisco, Google…) tienen mucho que perder (explicaciones que dar a sus accionistas, prestigio frente a sus clientes internacionales, daño a su marca) si sus productos son catalogados de defectuosos y no digamos ya si, además, se encuentra en ellos bugs cuanto menos sospechosos o aparentemente voluntarios, que están ahí precisamente para poner en peligro la seguridad y la privacidad de sus usuarios.

De nuevo, y como tantas veces hemos hecho desde estas líneas en Somos Binarios, esta es otra creencia tanto equivocada como peligrosa.

En los útlimos años los principales daños de seguridad, peligros (accidentales o provocados) y agujeros por los que el malware propio o ajeno entra en los sistemas de los usuarios, está viniendo justamente por el flanco que damos por más seguro: el de los grandes desarrolladores y el de los productos de software más consolidados y con más renombre.

Facebook y la publicidad

A Facebook son ya años los que se les lleva reprochando que cada nuevo add-on que implementa en su red social conlleva menos privacidad para los usuarios, más facilidades para los anunciantes que emplean la plataforma para colocar publicidad dirigida al usuario (en base a un profundo conocimiento de la intimidad de éste) y una no menos preocupante política de “mirar hacia otro lado” en bastantes casos en los que las bondades de la red social más famosa del mundo es empleada para fines no siempre lícitos.

Google y la privacidad

¿Para qué hablar de Google?. Si bien es cierto que esta megacompañía se ha hecho famosa por defender públicamente que poner en el mercado versiones Beta de sus productos ayuda a que sean los propios usuarios los que les den forma y permitan mejorarlos, su talón de aquiles viene siendo una y otra vez el mismo: la privacidad de todo el mundo (porque Google considera a todo el planeta como sus usuarios potenciales).

Por una parte la información que el buscador indexa con sus productos que no sólo es aquella que se puede encontrar en los resultados de búsqueda, sino que atañe a aspectos como la geolocalización de individuos y dispositivos, expedientes médicos, información íntima y de propiedad privada (Google Earth) y un largo etcétera de peligros para las comunicaciones y la seguridad de cualquiera a través del software residente de nuestros terminales móviles con Android.

Microsoft y las puertas traseras

Microsoft lleva décadas siendo conocida por los backdoors encontrados una y otra vez en todas las versiones y actualizaciones de sus sistemas operativos Windows, a veces explotadas por el propio gobierno e instituciones de los Estados Unidos, y en no menos ocasiones, explotadas por la propia compañía para recibir información directamente extraída sin permiso de los terminales de cualquiera de nosotros. Eso, sin contrar, con el uso de estos bugs o agujeros de seguridad, quizá voluntarios, que pueden hacer y de hecho hacen hackers de todo el mundo.

Tor y la navegación anónima

Pero el software libre tampoco se libra de estos peligros, precisamente en los productos más famosos y utilizados. Hablamos, curiosamente, incluso de aquellos pensados desde un primer momento en proteger nuestra seguridad y anonimato en la Red.

Tor lleva más de un año bajo acoso y derribo por parte de tecnologías de enjambre o bots que han llegado a extremos de llegar a tumbar hasta 2 de sus 5 servidores secretos centrales, obligando a varios de sus principales desarrolladores y sostenedores del sistema a declarar públicamente que Tor no era ya seguro ni, desde luego, proporciona el anonimato que se le intuye.

¿Qué queremos decir hoy con este post crítico sobre seguridad y hacking?

  • Pues que las más grandes compañías de sofware y los productos más conocidos y utilizados son, precisamente, los más vulnerables.
  • Que dichas vulnerabilidades son, en no pocas ocasiones, fomentadas, permitidas o introducidas por los propios desarrolladores de dichos productos con fines que casi cualquiera se puede imaginar.
  • Que no son los pequeños desarrolladores o los estudios independientes los más afectados por malware o los más vulnerables, sino todo lo contrario, lo son productos de software más conocidos y empleados.
  • Que hay una gran diferencia entre un ataque de Día Cero (una vulnerabilidad nunca antes detectada y aprovechada por un cracker externo que la descubre) y los errores, bugs o backdoors conscientemente introducidos en los programas por quienes los desarrollan. Lo segundo es más peligroso que lo primero.

Por último, como solemos recomendar siempre, que empleemos el sentido común (que es la mejor línea defensiva) y que seamos conscientes en todo momento que cuanto hagamos, veamos, compartamos o enviemos por Internet es susceptible de ser conocido, intervenido, indexado o almacenado, bien desde la propia sesión que estamos usando, o desde el sistema operativo de nuestro dispositivo (PC, portátil, tablet, móvil…) y eso NO es debido a hackers encapuchados, sino a compañías desarrolladoras de software indecentes.

Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.

Share
Publicado por
Alquimista

Recent Posts

Docker: conceptos principales y tutorial paso a paso

Hoy queremos hablaros de Docker un proyecto que cada día es más usado, porque permite…

3 años hace

Crea diagramas rápidamente usando código

Cada vez estamos más acostumbrados a usar código para generar la infraestructura (IaC), documentar nuestro…

3 años hace

Procesamiento del lenguaje natural con ElasticSearch

Uno de los problemas que se presentan con una mayor frecuencia hoy en día, es…

4 años hace

Elige tecnología clásica y aburrida

Uno de los problemas que solemos tener los programadores, es que nos gusta estar a…

4 años hace

Cómo usar Docker en Windows

Docker es una de las herramientas más usadas por los desarrolladores, sin embargo, usarlo en…

4 años hace

Analiza el coste del uso de JavaScript

Como seguramente sabrás el uso de JavaScript ha crecido exponencialmente en los últimos tiempos, sin…

5 años hace