Actualizaciones automáticas – ¿Son realmente necesarias?

**cejd** · 27-jun-2012

El caso TheFlame ha promovido muchas reacciones: los articulistas rellenan páginas con prefijos “ciber” y la palabra “guerra”. Las casas antivirus lo usan como arma de venta (aun sin haberlo detectado en cinco años) y Microsoft queda en evidencia con su PKI y la refuerza. TheFlame ha minado también la confianza: en los gobiernos, en los antivirus… pero sobre todo, en la criptografía y en la actualización automática.

Criptografía

El caso de los certificados falsos de Microsoft usados en TheFlame debería lanzar una nueva advertencia sobre la gestión de la criptografía. Si el SSL está “roto socialmente” porque no se entiende, porque se usa mal (todavía con hashes MD5, por ejemplo), porque las autoridades certificadoras sufren intrusiones, o porque se abusa del negocio alrededor de los certificados…, la mala gestión de una PKI como la de Microsoft vuelve a hacerle un flaco favor a la seguridad que proporciona la criptografía en general.

Y hay que cuidarla. Porque la criptografía actual es lo mejor que tenemos, y es en lo único que podemos basar nuestra confianza en estos momentos. Sin criptografía no hay Internet. La criptografía permite, por ejemplo, que se dé vía libre a la ejecución automática de código en el sistema con ciertas garantías (hasta ahora), de forma que se pueda parchear antes y se reduzca el riesgo. Es esencial.

Automatización

Y es que el software ha migrado hacia la “autoactualización”: la automatización total de las actualizaciones. Desde que el año 2000 Microsoft debutara con “Windows Update”, y estableciera más tarde por defecto la actualización automática, las aplicaciones se han apuntado al carro. Chrome fue de los primeros programas populares que no tuvo miedo a dejar de contar totalmente con el usuario para actualizarse. Y le ha ido bastante bien. Sus usuarios no solo parchean en tiempo récord, sino que tienen la sensación de que nunca tienen que hacerlo… lo que vende muy bien estos días.

Luego Mozilla, Acrobat, Flash no hace mucho… Incluso Chrome fue más allá y comenzó a actualizar sus propios plugins… Todos, ante graves problemas de seguridad, han optado finalmente por actualizarse sí o sí, por defecto. Actualizar es la absoluta prioridad en el mundo de la seguridad. Sin embargo no todos los sistemas de actualización están totalmente automatizados (muchos programas todavía confían en que el usuario acepte antes de aplicar el parche) ni todos lo hacen correctamente. Ciertos programas han realizado una mala implementación de sus sistemas de actualización y de eso se aprovecha la herramienta EvilGrade, todo un framework para explorar esas rendijas que proporcionan las actualizaciones de más de 60 programas. Para algo tan delicado como la automatización, los programadores deberían tomar muchas más precauciones.

Y es que fríamente y por definición, la automatización, es una mala idea. Trasladar ciegamente el poder a las máquinas siempre debería ser menos confiable que llevarlo al lado “razonable” del usuario. No podemos dejar total control en las máquinas porque, una vez encontrada la rendija adecuada, puede llevar a unas desastrosas consecuencias. Pero como la criptografía, es lo mejor que tenemos en estos momentos para obligar a actualizar. Incluso así, parece aún peor dejar que el usuario* decida:

En entornos caseros, suele resultar una molestia y aplicarse tarde. Está demostrado que los niveles de parcheo total son muy pobres. El software pirata en este caso, también hace mucho daño en este entorno.

En redes corporativas, las actualizaciones automáticas serían muy útiles pero resultan muy “poco populares” entre los administradores. El pánico a interrumpir la producción ante el más mínimo inconveniente les lleva a enterrar la seguridad como prioridad en el trabajo. Esto les resta mucha agilidad a la hora de actualizar y se vuelven muy vulnerables. Las facilidades para automatizar que proporciona Chrome, por ejemplo, es inútil en estos entornos.

Así que no hay respuesta para la pregunta que encabeza este artículo. ¿Centrarse en una automatización más controlada, quizás? ¿Educar al usuario? Al final, se llega al callejón sin salida del tópico: “la comodidad está reñida con la seguridad”… Pero hoy en día, parece que* quien se acomode, pierde.

baduser · 27-jun-2012

**albertoraul64** · 27-jun-2012

Gracias por la informacion...!

**VJEVans** · 27-jun-2012

gracias por la info

**carmen10** · 27-jun-2012

**Tururojo** · 27-jun-2012

**Ricalbur** · 27-jun-2012

Gracias por la info

**tortex** · 27-jun-2012

Gracias por la info compañero...

**Abraxas** · 28-jun-2012

Gracias por la info

27-jun-2012	#1
cejd Ayudante Frecuente Ingreso: noviembre-2011 Ubicación: Córdoba (Argentina) Mensajes: 490 Sexo: País: Signo: Agradecido: +1.823	Actualizaciones automáticas – ¿Son realmente necesarias? El caso TheFlame ha promovido muchas reacciones: los articulistas rellenan páginas con prefijos “ciber” y la palabra “guerra”. Las casas antivirus lo usan como arma de venta (aun sin haberlo detectado en cinco años) y Microsoft queda en evidencia con su PKI y la refuerza. TheFlame ha minado también la confianza: en los gobiernos, en los antivirus… pero sobre todo, en la criptografía y en la actualización automática. Criptografía El caso de los certificados falsos de Microsoft usados en TheFlame debería lanzar una nueva advertencia sobre la gestión de la criptografía. Si el SSL está “roto socialmente” porque no se entiende, porque se usa mal (todavía con hashes MD5, por ejemplo), porque las autoridades certificadoras sufren intrusiones, o porque se abusa del negocio alrededor de los certificados…, la mala gestión de una PKI como la de Microsoft vuelve a hacerle un flaco favor a la seguridad que proporciona la criptografía en general. Y hay que cuidarla. Porque la criptografía actual es lo mejor que tenemos, y es en lo único que podemos basar nuestra confianza en estos momentos. Sin criptografía no hay Internet. La criptografía permite, por ejemplo, que se dé vía libre a la ejecución automática de código en el sistema con ciertas garantías (hasta ahora), de forma que se pueda parchear antes y se reduzca el riesgo. Es esencial. Automatización Y es que el software ha migrado hacia la “autoactualización”: la automatización total de las actualizaciones. Desde que el año 2000 Microsoft debutara con “Windows Update”, y estableciera más tarde por defecto la actualización automática, las aplicaciones se han apuntado al carro. Chrome fue de los primeros programas populares que no tuvo miedo a dejar de contar totalmente con el usuario para actualizarse. Y le ha ido bastante bien. Sus usuarios no solo parchean en tiempo récord, sino que tienen la sensación de que nunca tienen que hacerlo… lo que vende muy bien estos días. Luego Mozilla, Acrobat, Flash no hace mucho… Incluso Chrome fue más allá y comenzó a actualizar sus propios plugins… Todos, ante graves problemas de seguridad, han optado finalmente por actualizarse sí o sí, por defecto. Actualizar es la absoluta prioridad en el mundo de la seguridad. Sin embargo no todos los sistemas de actualización están totalmente automatizados (muchos programas todavía confían en que el usuario acepte antes de aplicar el parche) ni todos lo hacen correctamente. Ciertos programas han realizado una mala implementación de sus sistemas de actualización y de eso se aprovecha la herramienta EvilGrade, todo un framework para explorar esas rendijas que proporcionan las actualizaciones de más de 60 programas. Para algo tan delicado como la automatización, los programadores deberían tomar muchas más precauciones. Y es que fríamente y por definición, la automatización, es una mala idea. Trasladar ciegamente el poder a las máquinas siempre debería ser menos confiable que llevarlo al lado “razonable” del usuario. No podemos dejar total control en las máquinas porque, una vez encontrada la rendija adecuada, puede llevar a unas desastrosas consecuencias. Pero como la criptografía, es lo mejor que tenemos en estos momentos para obligar a actualizar. Incluso así, parece aún peor dejar que el usuario* decida: En entornos caseros, suele resultar una molestia y aplicarse tarde. Está demostrado que los niveles de parcheo total son muy pobres. El software pirata en este caso, también hace mucho daño en este entorno. En redes corporativas, las actualizaciones automáticas serían muy útiles pero resultan muy “poco populares” entre los administradores. El pánico a interrumpir la producción ante el más mínimo inconveniente les lleva a enterrar la seguridad como prioridad en el trabajo. Esto les resta mucha agilidad a la hora de actualizar y se vuelven muy vulnerables. Las facilidades para automatizar que proporciona Chrome, por ejemplo, es inútil en estos entornos. Así que no hay respuesta para la pregunta que encabeza este artículo. ¿Centrarse en una automatización más controlada, quizás? ¿Educar al usuario? Al final, se llega al callejón sin salida del tópico: “la comodidad está reñida con la seguridad”… Pero hoy en día, parece que* quien se acomode, pierde. El amor es dar a alguien la capacidad de destruirte y confiar que no lo haga.

27-jun-2012	#5
carmen10 Erudito Ingreso: agosto-2010 Ubicación: En Andalucia Mensajes: 17.081 Sexo: País: Signo: Agradecido: +22.675	*El que busca la verdad corre el riesgo de encontrarla.*

27-jun-2012	#6
Tururojo Erudito Ingreso: enero-2012 Ubicación: Barcelona (España) Mensajes: 5.106 Sexo: País: Signo: Agradecido: +10.221	Mi Sabiduria, abarca lo que una gota de Agua, en el Oceano del Conocimiento

27-jun-2012	#8
tortex MOD/Foro Ingreso: marzo-2010 Ubicación: A un costado del tomacorriente... Mensajes: 7.002 Sexo: País: Signo: Agradecido: +19.141	Gracias por la info compañero... "...Si hubiera más personas que amaran el hogar sobre el oro, el mundo sería un lugar más feliz..." Thorin

28-jun-2012	#9
Abraxas Ayudante Frecuente Ingreso: junio-2011 Mensajes: 488 Sexo: País: Signo: Agradecido: +1.238	*Gracias por la info* *"Hay una fuerza motriz más poderosa que el vapor, la electricidad y la energía atómica: la voluntad."* *Albert Einstein*

Los siguientes 8 usuarios agradecen a cejd por este mensaje:
Abraxas (28-jun-2012), albertoraul64 (27-jun-2012), carmen10 (27-jun-2012), Francisco6812 (27-jun-2012), Ricalbur (27-jun-2012), tronc5one (27-jun-2012), Tururojo (27-jun-2012), VJEVans (27-jun-2012)

27-jun-2012	#2
baduser Banned Ingreso: julio-2009 Ubicación: Mexico City, Capital del Mundo Mensajes: 33.485 Sexo: País: Signo: Agradecido: +70.461

Los siguientes 3 usuarios agradecen a baduser por este mensaje:
Abraxas (28-jun-2012), albertoraul64 (27-jun-2012), Tururojo (27-jun-2012)

27-jun-2012	#3
albertoraul64 Genio Ingreso: agosto-2010 Ubicación: BS. AS. Mensajes: 1.432 Sexo: País: Signo: Agradecido: +5.081	Gracias por la informacion...!

Los siguientes 3 usuarios agradecen a albertoraul64 por este mensaje:
Abraxas (28-jun-2012), cejd (27-jun-2012), Tururojo (27-jun-2012)

27-jun-2012	#4
VJEVans Erudito Ingreso: mayo-2010 Ubicación: Arequipa (Peru) Mensajes: 6.935 Sexo: País: Signo: Agradecido: +10.323	gracias por la info

Los siguientes 2 usuarios agradecen a Tururojo por este mensaje:
Abraxas (28-jun-2012), cejd (27-jun-2012)

27-jun-2012	#7
Ricalbur Genio Ingreso: septiembre-2010 Mensajes: 1.531 Sexo: Signo: Agradecido: +3.886	Gracias por la info

Usuarios que han agradecido este mensaje de tortex
Abraxas (28-jun-2012)

Usuarios que han agradecido este mensaje de Abraxas
carmen10 (29-jun-2012)

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
winXPup - Pack de actualizaciones para XP	Eloy58	Sistemas Operativos	5	17-nov-2011 18:57
Usar WSUS Offline para instalar actualizaciones de Windows.	jchierro	Windows	5	18-mar-2011 15:01
Asesor de actualizaciones de Windows 7 - Windows7 Upgrade Advisor	Eloy58	Windows Vista & 7	1	30-dic-2009 00:44
como desinstalar las actualizaciones automaticas de Win 7	javi@97	Peticiones	2	16-dic-2009 21:34