Un director de seguridad senior de Symantec ha elogiado los esfuerzos de Microsoft para emitir parches para las vulnerabilidades de seguridad en su sistema operativo Windows, pero ha rechazado las afirmaciones de que eso a su vez lo hace más seguro.

El director de Symantec, Oliver Friedrichs, estaba respondiendo a un informe anterior de Jeff Jones, director de estrategia de la unidad de tecnología de seguridad de Microsoft. En el informe, Jones dijo que Wndows Vista había sufrido menos vulnerabilidades en los primeros 90 días que Linux o Mac OS X en el mismo período..

Jones dijo que solo se había descubierto un error en Windows Vista cuando se implementó en noviembre, pero que durante el mismo período Windows XP tuvo 14 errores, Mac OS X 10.4 tuvo 20 errores, Red Hat obtuvo 137 errores, Ubuntu tuvo 71 y SuSE con muesca 80.

Al comentar sobre el informe, Friedrichs, de Symantec, dijo: "La gravedad de una vulnerabilidad también influye en esto. Una sola vulnerabilidad que tiene una gran gravedad podría llevar al siguiente gusano Sasser o Blaster, pero un sistema operativo con un número mayor de errores, pero con los clasificados como menos altos pueden estar en una mejor posición defensiva en general ".

Dominancia más defectos = daño

Friedrichs también advirtió que el dominio de Microsoft tuvo un papel importante en el impacto que tuvieron las vulnerabilidades, simplemente debido a su posición dominante en el mercado:

"Una vulnerabilidad de alta gravedad puede no recibir una explotación generalizada en otro sistema operativo", dijo. "Eso no es infrecuente. Por supuesto, no disminuye la gravedad de la vulnerabilidad. Para la base de clientes de ese proveedor presenta un riesgo grave, pero el riesgo general para Internet puede no ser mucho".

También dijo que era difícil evaluar realmente un sistema operativo en un período de solo 90 días, especialmente cuando Vista solo estaba disponible para usuarios de negocios durante ese tiempo. Es mucho más probable que las empresas tomen la seguridad seriamente que los usuarios domésticos. Symantec dice que el 93% de todos los exploits están dirigidos a usuarios domésticos, en lugar de empresas.

Sin embargo, Friedrichs elogió a Microsoft por la velocidad con la que solucionó fallas en Windows, en comparación con las que se encuentran en sistemas operativos rivales. Microsoft tardó un promedio de 21 días en parchar 39 vulnerabilidades en el segundo semestre de 2006, en comparación con 66 días para Mac OS X y 58 días para Red Hat, según un informe de Symantec..

Los numeros que importan

Algunos periodistas de tecnología han aprovechado el Informe de seguridad de Internet Volumen XI como prueba de que Windows es un sistema operativo más seguro que sus rivales. Sin embargo, sus informes han tendido a centrarse en la cantidad de parches y la velocidad con la que se emitieron, en lugar de en la gravedad de las vulnerabilidades:

  • En realidad, Microsoft tardó más tiempo (21 días en promedio) en parchar sus vulnerabilidades de Windows en la segunda mitad de 2006 que en la primera mitad (13 días)
  • De las 39 vulnerabilidades expuestas, 12 fueron consideradas de alta severidad; 20 severidad media y 7 severidad baja. Eso es peor que en la primera mitad del año, cuando solo existían 5 riesgos de alta gravedad, según Symantec
  • De las vulnerabilidades de Red Hat para el segundo semestre de 2006, 2 se consideraron de alta severidad; 130 fueron considerados de severidad media y 76 de baja severidad.
  • Mac OS X tenía un alto riesgo de severidad; 31 riesgos de severidad media; y seis riesgos de baja severidad

Las aplicaciones web representan la mayor amenaza

Symantec también examinó las amenazas planteadas a los navegadores web. Descubrió que un programa, el Internet Explorer de Microsoft, estaba dirigido al 77 por ciento de todos los ataques a los navegadores web. También dijo que los navegadores y otras aplicaciones web representaron el 66% de los ataques a las computadoras en la segunda mitad de 2006. Los piratas informáticos utilizan cada vez más los ataques de gravedad media como una forma de explotar los programas de PC. Los números se apilan así:

  • Internet Explorer tuvo 54 vulnerabilidades en la segunda mitad del año pasado; 1 de estos fue considerado de alta severidad; 13 severidad media y 40 severidad baja
  • Los navegadores Mozilla (por ejemplo, Firefox) tenían 40 vulnerabilidades para el mismo período; 35 de estos se consideraron de gravedad media y 5 de gravedad baja
  • Opera tuvo 4 vulnerabilidades, nuevamente por el mismo periodo; 2 fueron considerados de severidad media y dos de baja severidad.
  • El Safari de Apple tenía 4 vulnerabilidades, de nuevo para el mismo período; 2 fueron considerados de severidad media y dos de baja severidad.