La aparición en Enero de 2003 del infame gusano «SQL Slammer» en Internet provocó que, aún siendo específico de sistemas Windows (concretamente afectaba a SQL Server de Microsoft), muchos servidores basados en otros sistemas operativos se vieran afectados. El acceso a estos sistemas fue prácticamente imposible debido a la saturación en las redes provocada por el excesivo tráfico que el gusano generaba en pleno ataque. Este problema en la Red desencadenó la eterna discusión acerca de los problemas de seguridad en el software propietario en general y en los sistemas de Microsoft en particular. Yo sin embargo me hago otra pregunta: ¿es posible esta situación en el mundo del Software Libre?
Cualquier entidad que quiera tomarse en serio la seguridad de sus sistemas informáticos debe cumplir necesariamente con dos premisas: una política de seguridad clara, aprobada por la organización y plasmada por escrito, y un equipo de técnicos cualificados. La política de seguridad debe contemplar todos los aspectos relevantes, desde el acceso físico a los terminales hasta la caducidad de las contraseñas, pasando incluso por las sanciones ante diversos actos de los usuarios. Los técnicos deben estar en continua formación y perfectamente informados de la actualidad, así como ser responsables de la implantación de la política de seguridad.
Si no se cumple con estas condiciones, el riesgo de encontrarse entre las numerosas víctimas de un desastre como el producido por el «SQL Slammer» es elevadísimo. Por desgracia, este cuadro es más común de lo deseado, ya que no se puede explicar de otra forma que se pudiera aprovechar un fallo conocido y perfectamente documentado desde hace seis meses antes. Es decir, debido a la no inclusión de una política de aplicación de parches en la política de seguridad o a la escasa información/preparación de los técnicos responsables, numerosos sistemas se vieron afectados por el gusano y, como efecto directo, sus usuarios se vieron afectados dramáticamente. Inadmisible.
Si se ha leído con atención el párrafo anterior, es fácil darse cuenta de que no he mencionado ningún sistema operativo ni paquete de software concreto. Es lógico, ya que lo descrito es aplicable a cualquier sistema, incluso en el caso de OpenBSD, gestado con la seguridad en mente como premisa principal y que apenas ha emitido avisos de seguridad en once años. Basta un técnico mediocre para que tal fortaleza se venga abajo.
La conclusión es ya clara a estas alturas y el culpable ha sido así mismo señalado: cualquier sistema se puede ver en las mismas circunstancias que el servidor SQL de Microsoft por culpa de la propia naturaleza humana. La única solución, como he expuesto más arriba, es cumplir A RAJATABLA las dos premisas expuestas.
En un próximo artículo pretendo comparar la seguridad del Software Libre frente a la de los sistemas propietarios, en base a sus propias virtudes y defectos.