Hablamos con José María Alonso, experto en seguridad informática que participa en las V Jornadas Técnicas 'Loading... Rioj@party 2008', que se desarrollan hasta el 22 de mayo en el Departamento de Matemáticas y Computación de la Universidad de La Rioja junto con el IES Bartolomé Cossío de Haro y la Asociación de Usuarios Linux de La Rioja.
¿Cuál es su relación con Microsoft?
Soy un Microsoft Most Valiable Profesional; es un premio que concede Microsoft anualmente a gente de todo el mundo por destacar en una tecnología y compartirla con la comunidad. Ellos buscan a la gente. En España somos unos 60 y en el mundo unos 2.500. Yo tengo la modalidad Security, me lo dieron en 2005, y en España la tenemos sólo dos. El premio consiste en el reconocimiento y en 150 pseudo-dólares para gastarlos en la tiendas de Microsoft.
¿Qué novedades presenta Windows Server 2008 con respecto a la versión anterior, la de 2003?
Básicamente, incluye un nuevo kermel –corazón del sistema operativo-. Su principal característica es que se ha diseñado desde cero con el objetivo de crear sistemas operativos con nuevas funciones de seguridad. Además, incluye un servidor orientado a roles. Antes se presentaba con una configuración preestablecida. Y ahora, al instalar el sistema operativo, eliges los roles que vas a cargar y, de esta forma, el servidor ejecuta sólo el software que tú necesitas.
¿Implica esta existencia de menos aplicaciones activas menos flancos atacables y mayor seguridad informática?
Efectivamente. Las reglas de la fortificación son tres: la defensa en profundidad –aplicar las máximas medidas de seguridad-, el principio de mínimo privilegio posible –que todo se ejecute con los menos permisos posibles- y el mínimo punto de exposición.
¿Qué diferencia básicamente a Microsoft y Linux?
Ambos sistemas se copian tecnología uno a otro, así que, al final, los kermel de Windows (sistema operativo propietario) y Linux (sistema libre) son muy similares, aunque no idénticos. Linux es un conjunto de muchos paquetes que una determinada distribución decide poner juntos. Microsoft tiene listas de control de acceso, listas basadas en usuarios y permisos. Y la estructura de Linux se basa en tres caracterizaciones: al usuario, al grupo y a otros.
¿Cuál de los dos sistemas es más seguro?
La seguridad es un tema complejo a la hora de medirlo. Siempre se ha achacado a Microsoft problemas con los virus y de vulnerabilidad, sobre todo a principio de los '90. Entonces su sistema operativo estaba diseñado para enchufar y ejecutar y tenía bastantes problemas con fallos de seguridad. Pero en 2002 hubo un cambio radical en Microsoft y la empresa contrató a auténticos gurús de la seguridad, como Michael Howard, autor de ‘Escritura de código seguro’. Y cambió la forma de hacer el software; se introdujo un nuevo modelo de desarrollo en el que la seguridad es parte fundamental del diseño, la codificación, las pruebas, la puesta en macha o las configuraciones por defecto. Los productos presentados por Microsoft desde entonces han conseguido resultados poco menos que impresionantes. El servidor de base de datos, que salió en 2005, ha tenido cero fallos de seguridad. Y lo mismo pasa con productos de la misma campaña, que tienen un número de fallos infinitamente menor que los de su competencia en software libre. Entre sus inconvenientes, el principal es que, como Windows XP es el sistema más extendido en el mundo, es también el más conocido y el más atacado por las mafias. La principal ventaja del software libre es que nunca va a ser el más atacado porque en seguridad informática se cumple el principio de heterogeneidad; resulta muy complicado encontrar dos Linux iguales.
¿Existe demasiada psicosis por la seguridad entre los usuarios particulares?
La seguridad informática es un tema para estar realmente preocupado. Se habla de que tres de cada cuatro ordenadores personales están infectados y controlados por la mafia. Por internet se roba, y mucho y, aunque a ti no te roben, pueden usar tu ordenador para robar a otros. Hoy en día, apenas hay virus porque cuando un virus se mete en el ordenador, éste funciona mal y al final el usuario aplica el ‘fuego purificador’ y reinstala el sistema. Lo que las mafias pretenden es entrar en tu ordenador y vivir en él para sacar datos sin que te des cuenta; sus troyanos son transparentes y silenciosos. Tienen CPDs (Centros de Procesos de Datos) mundiales a base de miles de ordenadores que consiguen a través de troyanos que se ocultan en la máquina y que resultan muy difíciles de detectar. Lo que hacen las mafias es crear troyanos que se hacen invisibles a todos los antivirus existentes.
¿Qué esperanza le queda al usuario?
La prevención. Hacer un uso responsable de la tecnología y usar el ordenador de trabajo realmente para trabajar, no meter cualquier ‘pen-drive que te pasen ni instalar cualquier cosa descargada de internet, no seguir cualquier link que te llegue por e-mail y no reenviar las cadenas de correo electrónico con mensajes o diapositivas. Todo eso hay que borrarlo automáticamente. Las mafias utilizan mil trucos: documentos office, archivos mp3, películas flash... y cualquiera de estos archivos puede aprovechar la vulnerabilidad del producto para colar un troyano. Las mafias pagan 10.000 dólares a quien encuentre la forma de introducir un troyano.
¿Cómo desarrollan su actividad estas mafias?
Muchas se dedican a la publicidad y al spyware (publicidad agresiva). Hay gente que paga a Google para que les reenvíe visitas y hay otra gente que paga a otras empresas para que les reenvíen vivitas a sus páginas y no les importa cómo. Cada X vivitas, alguna persona compra, por eso meten publicidad de forma agresiva. El spyware es difícil de controlar legalmente porque usan trucos legales. Por ejemplo, cuando te bajas un programa gratuito, en las condiciones que aceptas, te advierten de que te van a instalar un programita de publicidad que te va a controlar el ordenador. Y siempre aceptas porque esas condiciones no se las lee nadie. Otra forma es robar directamente: a base de ‘spam’ se ‘troyaniza’ un ordenador y te meten un programa que monitoriza tu navegación.
Cuando te conectas a un banco, te controlan la URL y, en tiempo real, te cambian la página del banco. Cuando pones los datos y envías, te roban las contraseñas y las mandan a un servidor ‘troyanizado’. Y cuando tienen bastantes datos de una misma zona ponen un anuncio de que se busca representante de ventas en una ciudad con ganancias fáciles desde casa. Lo que hacen es abrir una cuenta en esa ciudad, se meten en un ordenador ‘troyanizado’ de la zona y desde allí mueven todas las cuentas a la cuenta del ‘troyanizado’, o mulero, que manda el dinero después.
¿Es posible controlar esta actividad legalmente?
Resulta muy complicado y eso que en España vamos un poco por delante. Tenemos la Ley Orgánica de Protección de Datos (LOPD), el Código Penal ha sido reformado y se han tipificado los delitos, somos pioneros en la creación del DNI electrónico... España, a nivel mundial, está apostando por las nuevas tecnologías. Pero el problema llega cuando sales de España, porque en cada país la legislación cambia. Y con internet estamos hablando de algo global donde la legislación es muy complicada.