Llevamos años oyéndolo: Microsoft apuesta por la seguridad. Yo creo que la primera vez que lo escuché fue tras aquel famoso comunicado interno que Bill Gates, allá por el año 2002, envió a toda su plantilla y que se difundió a lo largo y ancho de este mundo. Desde entonces los medios afines a la empresa de Redmon nos repiten lo mismo una y otra vez a ver si a fuerza de escucharlo nos lo creemos. Pero nada ha llovido mucho desde aquel momento y se ve que no hay manera. Las recientes vulnerabilidades descubiertas en torno a las betas de sus «productos estrella» para este año (Internet Explorer 7. OneCare y Windows Vista) demuestrán, además, que o bien no tienen ninguna intención de cambiar o el éxito les ha convertido en una empresa tan ‘pesada’ que no son capaces de hacerlo.
Parémonos en primer lugar en la reciente vulnerabilidad en torno a los archivos WMF y que, aunque Microsoft no ha tratado de airearlo mucho ocultándolo en el boletín oficial que emitió, lo cierto es que esta vulnerabilidad afectaba también a la beta de Windows Vista. Independientemente de toda la polémica surgida en torno a ella, hay algo de lo que no se ha hablado y que a mi me parece muy significativo: Microsoft declaró que conocía la existencia de esa vulnerabilidad desde hacía años. Entonces ¿cómo es posible que fuese portada a la beta de su nuevo sistema? Desde luego es difícil creer que una empresa que actúa así esté especialmente motivada por la seguridad de sus productos.
Después de esto y en apenas un mes hemos tenido un par de nuevos ‘problemillas’: uno de ellos afecta a la beta de Microsoft OneCare, una suite de seguridad que pretenden lanzar durante este año. Los expertos que han analizado dicha beta (e imagino que lo habrán hecho a conciencia puesto que aquí Microsoft arremete contra un floreciente negocio que ha crecido a su sombra y les ha dado mucho dinero) han advertido que el cortafuegos de dicha suite permite en su configuración por defecto que cualquier aplicación firmada digitalmente o que use la máquina virtual java tenga acceso a Internet. En este caso se trata claramente de un error de diseño gravísimo: «cualquier cortafuegos, cualquier dispositivo de seguridad, debería de denegar el acceso por defecto» ha declarado Mark Curphey, vicepresidente de Foundstone. Se trata de algo tan evidente para cualquiera que trabaje o conozca el mundo de la seguridad que casi parece estúpido tener que decirlo.
Por último, tenemos un fallo que podría posibilitar la ejecución de código de forma remota y que afecta nada más y nada menos que a la beta de Internet Explorer 7, un producto que, se supone, debería de estar especialmente mimado por los de Redmon debido a la sangrante pérdida de mercado que está sufriendo a manos de Firefox. Microsoft contesta con lo de siempre: que se preocupan mucho por la seguridad, que ya sabían que ese error existía (¿cómo diablos sacas la beta entonces sin advertirlo?), que no está tan claro que se pueda ejecutar código remoto y que no es correcto que la gente vaya por ahí aireando sus trapos sucios sin enseñárselos a ellos antes para que puedan enterrarlos convenientmente.
Tenemos, pues, tres errores, tres, en torno a los futuros nuevos lanzamientos de los de Redmon. Uno debido a la reutilización de código mal diseñado, otro debido a un error conceptual de diseño y un tercero que repite los mismos fallos de siempre en un desarrollo nuevo… ¿es esta la forma de actuar de una empresa que se preocupa por la seguridad?
Y no me canso de repetirlo: a todos, incluso a los que tratamos de no usarlo, nos interesa que Microsoft desarrolle productos seguros porque por culpa de estas meteduras de pata tenemos que convivir con el spam, con gusanos que saturan el tráfico de redes completas, y con decenas de problemas en el trabajo que no nos dejan ocuparnos de lo que realmente nos interesa. Repito: no me gusta el software de Microsoft pero quiero que, de una vez por todas, se tomen en serio la seguridad de sus productos.
(Espero que Juanjo Millás no se moleste por haber tomado prestado para este post el título de su excelente trabajo sobre el caso de Nevenka Fernández).