Según un reciente estudio sobre seguridad presentado por Symantec, el tiempo que se tarda en corregir una vulnerabilidad ha pasado de los 30 a los 54 días, y la culpa de esto es del software libre y, más concretamente, de proyectos como Firefox.

Esta afirmación de la multinacional dedicada a la elaboración de productos de seguridad informática es justificada por la misma aludiendo al hecho que los proyectos de software libre no tienen la presión comercial tras de sí que les impulse a corregir los agujeros de seguridad en el menor tiempo posible.

Cada seis meses Symantec publica un informe sobre los principales problemas de seguridad en Internet, presentes y futuros. Este último informe, presentado el lunes día 19 de septiembre y que analiza el periodo que va desde el 1 de Enero hasta el 30 de Junio, revela un cambio en el objetivo, la estrategia y los métodos utilizados en los ataques a través de la Red de redes.

El objetivo primario de los crackers -que es como se denomina a los hackers que tienen malas intenciones- ha pasado de ser la gran industria y las grandes corporaciones a la mediana y pequeña empresa y los usuarios particulares. También ha cambiado el objetivo: si antes y en un porcentaje bastante alto era solamente molestar y demostrar los conocimientos técnicos del atacante, ahora la mayoría de los ataques buscan el provecho económico del atacante o de quien lo contrata mediante técnicas de phishing o robo de identidad.

Las técnicas de ataque también han cambiado para adaptarse al nuevo objetivo; así, los ataques a aplicaciones web, el uso de bot networks -consistentes en redes de computadoras de usuarios "secuestradas" y que se alquilan por parte de sus secuestradores para la realización de ataques DDoS o de otras clases- para robar información y los ataques a navegadores se han puesto a la orden del día y es probable que vayan a más.

Y precisamente sobre el punto de los ataques a navegadores se escribe también la página más polémica del informe, pues Symantec carga directamente contra el software libre y, en concreto, contra el proyecto Mozilla, responsabilizándolo de que la media de tiempo para parchear un agujero de seguridad en un browser haya subido desde los 30 a los 54 días.

Para justificar su afirmación, Symantec aduce que los proyectos de este tipo no sienten la misma presión que puede sentir una empresa comercial para lanzar la corrección del agujero de seguridad lo más rápidamente posible. La polémica, pues, está servida.

Pero Symantec no se queda sólo en eso, pues también afirma que en los primeros seis meses de 2005 Firefox ha sufrido más vulnerabilidades que Internet Explorer, concretamente 25 contra 13 del navegador de Microsoft. La gravedad de los fallos descubiertos en Firefox también ha sido mayor, un 72% del total de fallos del navegador del proyecto Mozilla fueron considerados graves, contra un 62% para el Internet Explorer, diez puntos porcentuales por debajo de su rival open source.

Esta última afirmación entra muy en línea con una reciente polémica que se ha extendido por la Red sobre qué navegador es más seguro, si Internet Explorer o Firefox.

Finalmente, destacar el aumento en el uso del código malicioso modular, que se actualiza a través de Internet. Este aumento es significativo, pues podría querer decir que los atacantes pueden estar evitando ser detectados por comprometer un sistema mediante la apertura de puertas traseras en un sistema infectado o su implantación en un equipo cuando el usuario visite un sitio web determinado.

Más información:

Symantec Internet Security Threat Report
http://enterprisesecurity.symantec.com/content.cfm?articleid=1539