El reciente ataque de ransomware protagonizado por WannaCry ha planteado un nuevo debate sobre la seguridad informática, y entre las preguntas que ha generado el ataque está la de quién tuvo la culpa de dicho ciberataque: Microsoft por no incidir más en la publicación del parche, o los usuarios por no aplicarlo.
Lo cierto es que activar un sistema de actualizaciones automáticas y forzosas ha sido algo que siempre ha dado muchos quebraderos de cabeza a las empresas de software, que han tratado de usar ese esquema sin éxito. Esas actualizaciones obligatorias lograrían solucionar problemas como el que nos ha afectado con WannaCry, pero no todo son ventajas con esas actualizaciones sin permiso.
Windows 10 en el candelero
El lanzamiento de Windows 10 fue polémico por la forma en la que Microsoft trató de forzar la actualización a la nueva versión de Windows. Aquel desastre provocó no solo críticas de usuarios, sino también demandas judiciales por un proceso que acabó haciendo perder datos a algunos de ellos.
Aquellas decisiones se extendieron también a la forma en la que las actualizaciones del sistema funcionaban. Las cosas cambiaban bastante respecto a versiones anteriores del sistema operativo: Microsoft ya no dejaba seleccionar qué actualizar y qué no, y nos encontrábamos con un proceso en el que parches, mejoras y controladores se descargan e instalan a la vez. El único parámetro que podíamos controlar era el momento en el que reiniciaríamos el ordenador para activar los cambios.
Había otras medidas que trataron de aliviar las críticas. La más relevante, la de cuidar a los usuarios con conexiones limitadas o de pago ("metered") en las que el consumo de datos conlleva cargos. Microsoft alivió —aunque no completamente— esas descargas automáticas en esos casos, permitiendo incluso que redes WiFi y redes Ethernet se trataran de esta forma.
Solo Chrome OS se atreve con actualizaciones silenciosas
La política de actualizaciones impuesta por Microsoft es el ejemplo más claro del dilema al que se enfrentan todos los desarrollos software, ya sean grandes y pequeños. En los últimos tiempos los desarrolladores de sistemas operativos han acabado optando por esquemas en los que las actualizaciones se detectan y descargan automáticamente y luego se "anima" al usuario a que aplique dichas actualizaciones instalándolas y reiniciando el equipo. Esto suele ser necesario tanto en Windows como en macOS en los SSOO de escritorio. En este artículo nos centramos en estas plataformas, aunque buena parte del discurso sea válido para plataformas móviles como iOS o Android.
Otras plataformas enfocan este tema de una forma radicalmente opuesta. Por un lado tenemos a Chrome OS, el sistema operativo de Google que destaca precisamente por las descargas "silenciosas" de actualizaciones que se aplican sin que el sistema operativo nos pregunte nada. Aparece un pequeño icono en la barra de tareas a modo informativo, y desde él podremos decidir simplemente si queremos reiniciar el equipo para aplicar esas actualizaciones inmediatamente. De lo contrario el sistema se actualizará la próxima vez que reiniciemos sin más.
En Chrome OS también es posible "forzar" manualmente las actualizaciones si somos impacientes, pero es que como ocurre con el navegador Chrome tenemos distintos niveles de actualizaciones según las prisas que tengamos con tener lo último de lo último. Los canales (Stable, Beta y Dev) nos dan acceso a novedades en fase de desarrollo, beta o ya estable, y cualquiera puede decidir qué tipo de actualizaciones quiere recibir.
La plataforma de Google es envidiable en esa gestión de actualizaciones, que aportan seguridad y que además son muy informativas —hay un blog dedicado a ello— otros sistemas operativos no dan tanta información sobre las novedades— y la empresa también mantiene detalles precisos sobre los plazos de soporte de cada máquina basada en este sistema operativo.
Google, como siempre, se encarga de todo para librar a sus clientes de estas tareas tan necesarias. Puede hacerlo gracias a la arquitectura de un sistema operativo con una concepción distinta: casi todo basado está basado en el navegador y la "tienda de aplicaciones" es el único método sencillo para acceder a nuevas herramientas (web). ¿Os recuerda eso a algo? Exacto: es un poco el esquema que quería seguir Microsoft con su recién presentado (y criticado) Windows 10 S.
El otro gran protagonista de este mercado, Linux, es igualmente ejemplar, aunque desde otra perspectiva: la del control y las opciones. Aunqeu es posible automatizar las actualizaciones, el usuario está siempre a los mandos, y lo normal es que sea él el que proactivamente pueda buscar y aplicar actualizaciones con los sistemas de gestión de paquetes de las distribuciones.
La postura es totalmente opuesta a la de Google con Chrome OS, y como en otros apartados Linux devuelve el control al usuario. La arquitectura del sistema también destaca por no requerir reinicios: en la inmensa mayoría de los casos las actualizaciones se instalan y aplican inmediatamente, y como mucho habrá que reiniciar servicios (con interrupciones de apenas unos pocos segundos en el peor de los casos) para aprovechar sus ventajas y nuevas prestaciones.
La ventaja fundamental: sistemas más seguros y eficientes
Sistemas operativos como los desarrollados por Microsoft llevan tiempo tratando de hacer que su sistema operativo sea más seguro, algo difícil si cuando se detecta y corrige un parche de seguridad los usuarios no lo aplican. Ese es el argumento principal de esas actualizaciones automáticas y "forzadas", pero hay otros beneficios, desde luego:
Vulnerabilidades (casi) bajo control: aunque nunca estaremos del todo seguros, este tipo de sistemas se encargan de mantener todos los componentes del sistema operativo al día, algo que de hecho debería extenderse también a aplicaciones que como Adobe Flash han servido durante años de puerta de entrada al malware. Que Windows se actualice de forma transparente y directa hace que efectivamente cada vez que Microsoft corrige un problema nuestro equipo reciba esa corrección y nos libre de posibles despistes u olvidos si controlamos el proceso manualmente.
Menos fragmentación: como ocurre con iOS, las actualizaciones forzadas ayudan a reducir la fragmentación, y evitan conflictos ya que se parte de la base de que todos los usuarios están actualizados a la última versión, lo que da ventajas tanto a las últimas mejoras en seguridad como prácticas, de eficiencia o incluso de componentes que son necesario para implementar nuevas características en el futuro.
Siempre a la última: uno de los pilares de Windows 10 es su conversión a un modelo de software como servicio (SaaS) en el que nos olvidamos un poco de las versiones (aunque seguimos hablando de compilaciones) y contamos con un esquema similar al de una distribución Linux con filosofía rolling release: estas distros se actualizan continuamente y no hay versiones distintas con numeración sucesiva que en realidad son prácticamente iguales entre sí. Las actualizaciones automáticas nos garantizan disfrutar siempre de lo último de lo último, y de hacerlo además sin que tengamos que preocuparnos de nada. Otro buen ejemplo de ese enfoque es, de nuevo, Chrome OS.
Desventajas evidentes en la pérdida del control
La puesta en marcha de un sistema de actualizaciones automáticas y obligatorias o forzadas también conlleva algunas desventajas importantes, y de hecho todas ellas han logrado que empresas como Microsoft sigan aprovechando un esquema de notificaciones para ceder ese control al usuario. Entre esos argumentos están los siguientes:
Usuarios empresariales: aplicar actualizaciones en miles de puestos de trabajo puede conllevar un gran riesgo para las empresas, puesto que esas actualizaciones pueden entrar en conflicto con otros componentes software utilizados en la operativa diaria. Eso es lo que hace que en las empresas esas actualizaciones se apliquen de forma gradual y que primero se evalúen los efectos colaterales de esa actualización en un pequeño grupo de máquinas.
Cuidado con mi ancho de banda: aunque en países desarrollados muchos usuarios disfrutan de tarifas planas de conexión que permiten descargar grandes cantidades de datos sin problemas, en otros escenarios y regiones estas actualizaciones forzadas podrían acabar con la cuota de la que disponen los usuarios. En el Sidney Morning Herald contaban el caso de usuarios de las Islas Cook, que pagaban cerca de 40 euros por lograr una cuota de 3,5 GB mensuales en 2015, pero además destacaban que en Windows 10 el sistema P2P que también "coge prestado" el ancho de banda de los usuarios para las actualizaciones no ayuda en esos casos.
Actualizaciones conflictivas: ninguna de las grandes de la tecnología puede preverlo todo, y forzar actualizaciones supondría hacerlo con todas las consecuencias. Aunque estas actualizaciones suelen pasar por una estricta fase de pruebas, los conflictos inesperados pueden aparecer. De hecho aparecen, como ocurrió cuando se lanzó Windows 10, con un parche de seguridad (el KB3074681) que causaba que el explorador de ficheros se "colgase" o con un KB3081424 que provocaba reinicios constantes del equipo. Aunque ponemos a Microsoft como ejemplo, esos problemas pueden surgir (y surgen) en otros sistemas operativos, tanto de escritorio como móviles.
Pérdida de control: este es para muchos el argumento clave de esa filosofía de Microsoft. El control y las opciones que proporciona Microsoft no llegan al nivel de los de las distribuciones Linux, pero desde luego van mucho más allá de lo que ofrece OSX/macOS. Aunque hay opiniones de todo tipo y cada esquema es defendido por sus usuarios de forma contundente, un esquema con actualizaciones automáticas forzadas hace que tengamos que sacrificar parte del control que antes teníamos. Lo hacemos para ganar seguridad, cierto, pero el precio puede ser demasiado alto para algunos usuarios y entornos.
El debate, por tanto, sigue abierto: ¿creéis que la nueva orientación de Windows 10 S puede ser por tanto adecuada para mejorar la seguridad? ¿Hay alguna solución ideal para la política de actualizaciones? Preguntas difíciles que ni siquiera las grandes han logrado contestar de forma totalmente satisfactoria para todos sus usuarios.
En Xataka | Ni Linux ni macOS te salvarán del ransomware: la condena de Windows es su popularidad
Ver 68 comentarios