La reticencia al cambio como principal factor de vulnerabilidad tecnológica

actualizacion vs seguridad

Es un problema que me encuentro habitualmente, y del que me parece que hay pocas soluciones a corto plazo.

Como ya comentaba recientemente al hilo de los que para un servidor eran los mejores smartphones de finales de 2018/principios de 2019, la gama baja/media, que es a fin de cuentas la que más se vende (y por tanto, la que más me piden) estaba prácticamente dominada por Xiaomi.

Y de todas las opciones, generalmente suelo recomendar el Xiaomi Mi A2 (ES) a todos aquellos que buscan un móvil “bueno, bonito y barato”, el Xiaomi Mi A2 lite (ES) para los que quieren gastarse todavía menos y siguen necesitando un jack de 3,5, y el Pocophone F1 (ES) para el típico regalo que le harías a tu hijo, es decir, para alguien que necesita mucha autonomía y potencia para tirar de videojuegos.

El caso es que para un servidor la pelea estaría entre el Mi A2 y el Pocophone F1. En el primero lo que obtienes es Android One, esto es, la tranquilidad de que al menos durante 2 años recibirás actualizaciones de seguridad mensuales y nuevas versiones de Android al poco de salir al mercado. Mientras que con el Pocophone F1 lo que tienes es un móvil muy potente con MIUI (la capa de personalización de Xiaomi), y por tanto, con actualizaciones bastante frecuentes, pero ni de lejos cumpliendo el roadmap de Android.

Entre los dos yo he decidido, como expliqué en su momento, decantarme por el primero. Creo que llevamos lo suficiente como para ser conscientes de que hoy en día el pulso evolutivo de la tecnología se mide en actualizaciones de software, y no tanto en hardware. Por lo que valoro por encima de la potencia del cacharro el que éste tenga un ciclo de vida de actualizaciones mayor, lo que de facto me va a permitir acceder a nuevas funcionalidades del sistema sin tener que cambiar de terminal.

Y sin embargo, algo que como decía, para mí es obvio, ya no solo es que no sea valorado por el grueso de la sociedad, sino que en muchos casos lo que me encuentro es justo lo contrario: que nuestros dispositivos se actualicen es un problema para muchos usuarios.

Quiero que mi dispositivo funcione igual SIEMPRE

Lo comentaba de pasada con un compañero de profesión hace unos días. Éste me contaba que tenía que cambiar de smartphone (el suyo ya estaba dando problemas), y que por tanto, quería volver a comprarse un Sony.

Yo le dije que me sorprendía que quisiera un Sony, a sabiendas de que, mal que me pese criticarlos, hace tiempo que en smartphones la compañía nipona está de todo menos a la vanguardia. Que su ROM se había quedado desfasada y, sobre todo, tanto en prestaciones como en precio, no tenía rival frente a otros como Xiaomi o Honor.

Pero es que justo lo que yo consideraba un problema (que todo funcionase como antaño) era aquello que mi compañero valoraba positivamente.

No quería “tener que enfrentarse” a nuevas funcionalidades. Quería que su nuevo smartphone funcionase tal cual había funcionado todo este tiempo el actual. Que si tenía que cambiar X parámetro de ajustes, supiera en todo momento en qué lugar estaba.

Las actualizaciones de software para alguien como mi compañero, y por lo que puedo ver, para muchísimas personas, son un verdadero quebradero de cabeza. Primero porque las cosas pueden romperse al actualizar (no es muy habitual, pero poder puede pasar), y segundo porque suponen tener que “reaprender” algunos conceptos que ya tienen asumidos.

Lo hemos vivido recientemente con el cambio de versión de WordPress. Tres meses han pasado ya desde que saliera la nueva versión, y todavía me encuentro con hostings que recomiendan NO actualizar, ya que podría haber problemas de compatibilidad.

Que puede haber problemas es obvio, pero es que la idea cuando tienes una web es mantenerla sí o sí actualizada. Que si las cosas se hacen bien de base, modularizando los componentes que contienen código propio, haciendo copias de seguridad y, en definitiva, todo lo que la gente que nos dedicamos a esto sabemos que hay que hacer, las posibilidades de que algo se rompa son mínimas.

Y si aún así algo se rompe, pues se arregla y a seguir. Actualizar no debería ser el problema. ¡Es la solución!

De manera que no debería sorprendernos cuando algún conocido, de pronto, nos dice que su WhatsApp ha dejado de funcionar y que para seguir utilizándolo tiene que actualizarlo.

Esto pasa porque proactivamente estas personas, que recalco representan la mayor parte de la sociedad, prefieren bloquear las actualizaciones automáticas.

Lo cual, por supuesto, acaba siendo un problema que nos afecta a todos.

El riesgo de no tener actualizados nuestros dispositivos y sistemas

Lo veíamos recientemente con la investigación publicada por Limited Results (EN) sobre cómo la amplia mayoría de dispositivos del internet de las cosas que pululan por nuestra casa son, precisamente por esa falta de actualizaciones automáticas, un riesgo potencial para la seguridad y privacidad de todos nosotros.

En la investigación se centraron en modelos baratos de bombillas inteligentes, demostrando que prácticamente todas guardaban en texto plano datos sensibles como puede ser el SSID y la contraseña de las WIFIs.

Basta buscar en la basura, abrirlas, y sacarle la memoria para luego conectarla a otro dispositivo y tener ya un vector de ataque al resto de dispositivos conectados a esa red.

Que a las puertas de 2020 seguimos considerando la seguridad y la privacidad un elemento recomendable, pero en todo caso muy alejado “a la realidad del usuario”, y por tanto, no requerido a la hora de comprar uno u otro dispositivo.

Llegados a este punto, ¿qué podemos hacer?

Estaba pensando en ello cuando me enteré que por Japón, el Instituto Nacional de Tecnología de la Información y las Comunicaciones tiene planteado hackear los routers y las webcams de sus ciudadanos (EN).

La idea detrás de este proyecto no es, por supuesto, comprometer la privacidad de los ciudadanos porque sí, sino alertar a todos aquellos que tengan dispositivos vulnerables de que en efecto esto está ocurriendo, forzándoles por ley a que los actualicen antes de los Juegos Olímpicos, cambiando aunque sea la contraseña por defecto.

Y es que en el paradigma de seguridad de cualquier red, sea una intranet corporativa, sea la red de conectividad de un país entero, su robustez depende de la seguridad que tenga el eslabón más débil de la cadena, representado en este caso por los usuarios sin conocimientos.

Que el que alguien pueda entrar en tu router no solo te afecta negativamente a ti, sino en líneas generales a la seguridad del país. Ataques como los de Mirai en el pasado han sido posibles precisamente por la dejadez de millones de usuarios al no mantener convenientemente actualizados sus dispositivos.

¿No va siendo hora ya de que demandemos actualizaciones de seguridad automáticas? El principal reto es que con las actualizaciones algo se pueda romper, pero este riesgo se minimiza con controles de testing más estrictos, y sobre todo, apostando por una modularidad del sistema como la que empezamos a ver en Android este último año, o en WordPress desde hace tiempo.

¿No debemos nosotros, como profesionales de la industria, educar al usuario y hacerle partícipe de los beneficios que obtiene actualizando sus productos? Que aunque sea de separe de la idea de que actualizar es algo potencialmente molesto, para entender que es algo que va a ofrecerle un ciclo de vida mayor. Ergo, menos gasto económico a futuro.

En juego está la seguridad y privacidad de todos nosotros. De aquellos que son reacios al cambio, pero también de aquellos que estamos haciendo las cosas bien, y mantenemos nuestros dispositivos y sistemas continuamente actualizados.

________

Si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias