Una excesiva "complicación" en el Windows y la política de Microsoft respecto a su sistema operativo y otros productos son en opinión de algunos investigadores las causas para la proliferación de agujeros de seguridad y otras amenazas.
El informe, redactado por un grupo de consultores independientes o ligados a varias empresas dedicadas a la seguridad informática, ha sido alabado y criticado a partes iguales, como cualquier documento en el que se critique o alabe a la compañía de Redmond, que por lo que parece despierta numerosas pasiones encontradas.
Uno de los primeros puntos que se critica en el informe es la facilidad con la que los fallos de seguridad detectados en Windows pueden ser aprovechados, pues el sistema de Microsoft se encuentra instalado en más del 90% de las microcomputadoras de todo el mundo. es por ello que una vez encontrado un fallo o puerta trasera en el sistema, es muy fácil encontrar víctimas para explotarlo. Sería algo así como una reacción en cadena. Tal vez la situación que mejor ejemplarice este punto sea la de los virus; ¿nunca se han preguntado porqué casi no existen patógenos para el entorno Macintosh? la escasa cuota de usuarios de este sistema a nivel mundial hace que estos se vean en cierto sentido aislados, rodeados de usuarios de PC+Windows, y normalmente conociendo a pocos usuarios de Mac -en la mayoría de los casos, aunque naturalmente no en todos-, por lo que una epidemia vírica en un Mac se contagiaría de forma dificultosa a otros usuarios del mismo sistema, mientras que entre usuarios de Windows puede contagiarse de forma exponencial.
Un hecho concreto que ayuda a la falta de seguridad es la complejidad creciente del sistema operativo, cada vez con más funcionalidades y programas imbuidos en el propio código. Un buen ejemplo de ello es el Internet Explorer, cada vez más imbricado con el mismo Windows, lo que provoca que si una falla de seguridad lo afecta, todo el sistema se vea afectado. Esto puede verse en los parches de seguridad liberados por la compañía de Redmond, muchos de los cuales afectan al Internet Explorer. La solución a este punto pasaría por separar las funcionalidades añadidas del propio sistema, independizando aplicaciones como el Internet Explorer. Desde Microsoft se defienden de este punto alegando que la introducción de más funcionalidades en el propio sistema ayuda a los usuarios, haciendo más fácil su experiencia de administración y trabajo diario.
Otro punto criticado es en relación a la política de parches, de la cual se critica la tardanza en publicar la solución a un problema. Además, y ligado al punto anterior, también se afirma que la instalación de un parche para corregir una vulnerabilidad puede llevar a la abertura de otro agujero de seguridad nuevo, debido precisamente a la antes comentada complejidad del sistema. En el informe se explica que muchos administradores, temerosos que la instalación de un nuevo parche provoque problemas de rendimiento en el sistema, simplemente retrasan demasiado su instalación hasta haberlo probado en otras máquinas... o simplemente no llegan a instalarlo.
Los estándares de facto marcados por Microsoft también son objeto de crítica. Un ejemplo de ello es el procesador de textos Word, utilizado por gran parte de los usuarios, y que dispone del formato propietario .DOC . Otro ejemplo es el Internet Explorer, el navegador web más utilizado, con cerca del 96% de cuota de mercado. Muchas administraciones están creando sus portales para que los ciudadanos puedan realizar sus trámites a través de Internet en base a este navegador, por lo que aquellas personas que no utilizan el software de Microsoft pueden verse discriminadas.
Desde Microsoft se ha criticado arduamente dicho informe, afirmando que no se han tenido en cuenta las ventajas de uso del software de la compañía, como por ejemplo la facilidad de mantenimiento. Muchas voces también han criticado la participación en el informe de la CCIA (Computer and Communications Industry Association), asociación de empresas que agrupa entre otras a las principales competidoras de Microsoft: AOL, Oracle o Sun Microsystems. Además, uno de los objetivos de la asociación es la promoción de los estándares abiertos, contrarios a la política de Microsoft. Dicha asociación, cuyo interés en este informe resulta evidente, se ha defendido alegando que el escrito ha sido hecho de forma independiente, y que su participación se ha limitado a darlo a conocer al público en general.
Daniel Geer, uno de los coautores del informe y hasta la fecha consultor de @Stake, ha perdido su trabajo justo después de la publicación y presentación de este documento. @Stake es una consultora de seguridad que cuenta a Microsoft entre sus principales clientes. Desde la empresa se ha afirmado que en ningún momento se han recibido presiones desde Microsoft para despedir a Geer, pero que tampoco les ha hecho mucha gracia que uno de sus trabajadores critique en público a uno de sus principales clientes.
El informe completo puede encontrarse de forma totalmente libre y gratuita en
CiberInsecurity: The Cost of Monopoly
