Para dos investigadores, el pasado mes de enero fue el Mes de las Vulnerabilidades en Apple o MOAB (Month of Apple Bugs). LMH y Kevin Finisterre encontraron un total de 31 bugs al OS X y a aplicaciones que corren sobre él (Safari, iMovie, iPhoto y otras cuantas).
Sus conclusiones son evidentes: Apple no es tan seguro como la mayoría cree: le encontraron un bug por día! En una entrevista para el Washington Post, explicando su posición, indicaron cómo «(l)os usuarios de OS X creen que su sistema es a prueba de balas y hay algunos a quienes conviene que así parezca».
Me llama la atención que solamente security experts del nivel de ellos se meten en una iniciativa de esta naturaleza; el resto de los usuarios seguían tan tranquilos, confiando 100% en su sistema operativo y en sus aplicaciones. Con el obvio riesgo de equivocarme, esto puede indicar que la gran mayoría de usuarios definitivamente se guía por la amigabilidad de la interfaz y por los comentarios de prensa. Finalmente, es evidente que Windows es la presa preferida de muchos a la hora de hablar acerca de inseguridad. Y los usuarios de Mac, orgullosos, creían ser invencibles.
Piense un segundo en la típica empresa o entidad pública colombiana: adquiere licencias de software de sistema operativo, de aplicaciones de oficina… pero también ocasionalmente necesita programas desarrollados en forma personalizada para sus necesidades. Surgen las siguientes preguntas:
Habrá incluido en el contrato con el desarrollador del software alguna cláusula que le permita exigir una garantía de calidad? Mejor dicho, que el desarrollador deba garantizar que el programa es bug free? O al menos se obligue a corregir los bugs de seguridad que se le puedan encontrar?
– Si se trata, por ejemplo, de la Registraduría General de la Nación, hay alguna reglamentación que la obligue a guardar ciertos parámetros de seguridad en las herramientas de software que adquiere, custom made?
– Si se trata de una entidad médica, hay alguna reglamentación que la obligue en forma similar?
– Si acaso la herramienta permite el intercambio de datos con alguien ubicado, por decir algo… en España, la empresa tuvo el cuidado de obligar al desarrollador a que cumpliera los presupuestos de la Ley de Protección de Datos de España? Tuvo esta compañía la previsión de verificar si debía cumplir esos requisitos? Cuándo sí y cuándo no los debe cumplir?
– Si la herramienta permite el almacenamiento y la transmisión de imágenes y archivos de música y video, hay forma de hacer un check previo que permita conocer el respeto que se da a los derechos de terceros? Qué pasa con la responsabilidad de esa empresa con la inminente entrada en vigencia del TLC y la responsabilidad de los ISPs?
Mil y una preguntas más podría formular, pero por ahora sólo pretendo dejar a algún lector con algo de inquietud.
No se trata solamente de que las aplicaciones custom made funcionen bien!
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe