Me atrevería a aventurar que un porcentaje cercano a la totalidad de usuarios ‘domésticos’ de windows trabajan habitualmente mediante una cuenta con privilegios de administración. Y lo que es peor, en muchos entornos empresariales también se hace así, unas veces por la apatía de los administradores de sistemas que no quieren estar resolviendo decenas de tontas incidencias al día por problemas de falta de privilegios y otras tantas porque te encuentas rompecabezas realmente irresolubles o que merman enormemente la productividad de los trabajadores. No, no es problema de los usuarios: windows está diseñado para que quien lo use tenga privilegios de administración y si no el día a día se convierte a veces en una verdadera carrera de obstáculos.
En los sistemas operativos serios esto es impensable: el usuario trabaja habitualmente con privilegios mínimos y cuando necesita privilegios especiales para realizar una determinada operación realiza un logon temporal de forma manual (su) o guiada mediante una ventana de diálogo. Es un mecanismo probado y efectivo para proteger al usuario de si mismo e indispensable como primer paso para proteger el sistema.
Por ello cada vez que aparece un nuevo windows todos ponemos los ojos en este problema ¿cambiaran por fin este enfoque los chicos de Redmon? Lo que leo en Codigo Horror no puede ser más desalentador. La respuesta de Microsoft ante esto se llama User Account Protection (UAP) y consiste meramente en la presentación de díalogos de aviso ante cualquier actividad potencialmente peligrosa que hagamos.
Como bien dice Jeff Atwood en su artículo la seguridad a través de diálogos de aviso no funciona. No funcionará nunca. Si trabajais como técnicos de soporte en alguna empresa seguro que sabeis a lo que me refiero y habeis vivido conversaciones como esta de forma frecuente:
- Usuario.- Buenas. Tengo una incidencia. Estaba trabajando normalmente, me salíó una ventanita de aviso y luego el programa dejó de funcionar.
- Técnico.- ¿Qué decía en el texto de la ventana?
- Usuario.– Ah, no se… yo le di a aceptar y luego falló todo, todo.
- Técnico.- …
Existe un agravante a esta situación: cuanto más frecuentes son las ventanas de diálogo más invisibles se vuelven al usuario. El usuario acaba aprendiendo, cual perro de Paulov, que si quiere seguir trabajando debe de darle al botón de aceptar. Y punto. Si el UAP se usa para validar la instalación de tódo el código no firmado por Microsoft (es decir, la gran mayoría de controles ActiveX que nos encontramos por ahí) serán tan habituales que prácticamente desaparecerán de nuestra consciencia.
Pero la locura de estos chicos no acaba aquí: esta característica estará habilitada por defecto incluso para los usuarios que realmente requieren privilegios de administración, es decir, ni siquiera ‘confiara’ en que los verdaderos administradores hagamos nuestro trabajo y, por defecto, existirá una directiva en las políticas del equipo que tratará a los administradores como usuarios estándard y les aplicará la UAP. La medida roza lo absurdo: por un lado ‘degrada’ a los verdaderos administradores y por otro si lo que se quiere es que la política se aplique incluso a los usuarios ‘domésticos’ que trabajen con privilegios de administradores ¿porqué puede desactivarse mediante una simple directriz en las políticas locales de la máquina?
Cada vez entiendo menos a esta empresa y su éxito ¿Realmente es tan difícil aceptar que ‘los otros’ tienen la solución a tú problema?¿Hay alguien que sepa hacer su trabajo en Microsoft?
ACTUALIZACI?N: Y ya si Schneier está de acuerdo poco más podemos añadir los meros mortales…