Demanda contra MS mejorará la seguridad informática

La consultora Gartner estima que un juicio iniciado en EEUU contra Microsoft por deficiencias de sus sistemas ante fallos masivos podría mejorar la seguridad informática.

MADRID: El 30 de septiembre de 2003, una demanda presentada ante un tribunal de California alegaba que las prácticas de seguridad de Microsoft dejaban al usuario vulnerable al robo de identidad. La demanda, presentada por parte de un solo residente californiano pero diseñada con vistas a una posible demanda colectiva, afirma que los sistemas operativos y aplicaciones de Microsoft son altamente vulnerables a los ataques por virus y otros tipos de código malicioso que pueden provocar “fallos masivos y en cascada” en las redes informáticas.

En la demanda también se alega que las alertas de seguridad de la compañía son demasiado complejas para ser entendidas por el público en general y de hecho contribuyen a que los hackers sean más rápidos desarrollando sus ataques.
En un análisis sobre la materia realizado por John Pescatore, Gartner escribe que aunque la causa contra Microsoft probablemente será difícil de probar, en cualquier caso podría contribuir a mejorar la seguridad informática. Hasta la fecha, Microsoft, así como muchos otros suministradores de software, ha desarrollado parches de seguridad para vulnerabilidades de software antes de que se hayan lanzado grandes ataques contra ellas. Este hecho, junto con los términos de la mayoría de los acuerdos de licencia de software, ha dificultado la asignación de responsabilidades a un suministrador cuando un ataque se ha aprovechado de una vulnerabilidad conocida.

Sin embargo, Gartner cree que es inevitable que se produzcan casos en los que los hackers detecten y ataquen una vulnerabilidad antes de que los suministradores de software hayan podido desarrollar un parche para ella. En este contexto, estas primeras acciones legales son importantes ya que podrían establecer los precedentes legales necesarios para el futuro.

La mayoría de los suministradores de software probablemente responderá a ésta y a otras acciones legales similares modificando sus acuerdos de licencia para reducir aún más sus ya reducidas responsabilidades. Entre otras cosas, los suministradores probablemente indicarán en sus licencias que la causa real de cualquier daño producido por un ataque es el acto criminal de los hackers (no la falta de seguridad del software). Gartner está de acuerdo y cree que los criminales deberían ser castigados, pero también cree que el actual nivel de vulnerabilidades en productos de software constituye una “tentación” y hace que el trabajo de los criminales sea demasiado fácil.

Los suministradores deberían reaccionar de forma más efectiva a la amenaza de acción legal: 1. Asegurándose que la configuración por defecto de sus productos es segura y 2. Limitando de forma significativa sus vulnerabilidades con una reducción de la complejidad de sus productos.

Gartner concluye que “Este tipo de acción legal probablemente no tendrá ningún impacto significativo a corto plazo sobre la seguridad del software comercial”, por lo que recomienda a las empresas continuar invirtiendo en capacidades adicionales de seguridad y gestión de vulnerabilidades para todo el software expuesto a Internet. También recomienda sopesar los costes de seguridad como un criterio clave en la selección y estimación de costes de la propiedad del software.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022