Los sistemas operativos son programas formidables. Entre otras cosas, sus millones de líneas de código gestionan los programas en la memoria, supervisan la escritura y lectura de datos, y dibujan las ventanas que abres a diario.
La importancia y complejidad de un sistema operativo es tal que cualquier ataque informático tiene que lidiar con el SO para tener éxito. Y si el sistema operativo tiene fallas o está pobremente diseñado, será un coladero de intrusiones.
Incluso cuando un ataque no tiene éxito, el sistema operativo puede resultar dañado. En ese caso, el propósito original del sistema se ve comprometido: ya no es un entorno fiable en el que trabajar.
¿Qué se entiende por seguridad?
En general, al hablar de la seguridad en sistemas informáticos, se mencionan tres pilares básicos: confidencialidad, integridad y disponibilidad.
- Confidencialidad: los usuarios sin autorización no deben poder acceder a contenido que no les corresponde; el sistema debe garantizar el secreto
- Integridad: los datos no pueden ser alterados sin autorización y de manera indetectable, y deben estar siempre disponibles
- Disponibilidad: los datos deben poder ser entregados de manera fiable y rápida a los usuarios con autorización para acceder a los mismos
Para considerarse seguros, los sistemas operativos deben respetar estos tres principios, cosa que logran a través de cuentas de usuario, sistemas de fichero, aislamiento de procesos en memoria, cifrado de la información, etcétera.
Pero la seguridad depende también de factores externos, como la popularidad: el sistema más usado suele ser también el blanco más vistoso y mejor documentado, el pez más fácil de pescar.
El sistema operativo más popular, y el blanco más visible, es Windows (fuente)
Aun así hay sistemas que consiguen ser muy seguros incluso siendo muy populares. Lo consiguen gracias a un diseño de seguridad cuidadoso y a unas buenas prácticas en su mantenimiento, apoyadas en la comunidad de usuarios.
Comparativa de SO: en busca de la objetividad
A efectos prácticos, la seguridad de un SO se reduce a lo siguiente: disponer de un sistema del que uno se fía lo suficiente como para procesar información importante con él. Una confianza que puede verse afectada fácilmente.
Si quitamos los aspectos humanos, lo que queda es la evidencia tecnológica. Los sistemas operativos, por formidable que sea su reputación, pueden estar mejor o peor diseñados en lo que a seguridad se refiere. Eso es bastante objetivo.
Para este intento de comparativa he elegido cuatro sistemas operativos. Son los más populares en equipos domésticos.
- Windows 7 / 8 (NT 6.x)
- Windows XP (NT 5.x)
- Ubuntu Linux
- Mac OS X
¿Cuáles de estos sistemas operativos es el que más cuida la seguridad -más allá de sus buenas intenciones-? Para contestar he buscado los datos más actualizados sobre una serie de indicadores objetivos.
EAL, la puntuación que usan los gobiernos
La puntuación de seguridad EAL es un valor numérico que va de 1 a 7, y se asigna a partir de los estándares internacionales de Common Criteria, desarrollados por el gobierno de los Estados Unidos y otros países.
La puntuación EAL no dice cuán seguro es un sistema, sino hasta qué nivel se ha probado y garantizado su seguridad. Son los fabricantes quienes solicitan estos análisis con mayor o menor profundidad.
El nivel EAL1 es el más básico, y significa que el programa se comporta según lo descrito en la documentación. Por otro lado, poquísimos programas y dispositivos solicitan y alcanzan el nivel máximo, que es el 7.
El sistema operativo empresarial z/OS de IBM ha obtenido una puntuación EAL5
La mayoría de los sistemas operativos aspiran a un nivel de seguridad EAL4, que significa que se alcanza un buen nivel de seguridad con flexibilidad de desarrollo suficiente. Cuando hay una seguridad mejor, se puntúa con EAL4+.
Veamos qué tal le ha ido a los sistemas elegidos:
| Windows 7 | Windows XP | Ubuntu Linux | Mac OS X 10.6 |
| EAL4+ | EAL4+ | (EAL4+) | EAL3+ |
Como ves, los sistemas de Microsoft han obtenido un puntaje EAL bastante alto. El dato de Mac OS X desconcierta un poco, pero también es cierto que el test se hizo hace unos años con la versión 10.6.
En cuanto a Linux, hay versiones corporativas como Red Hat que sí han obtenido la certificación con el mismo resultado de Windows: EAL4+. ¿Por qué Ubuntu no tiene puntuación EAL?
RHEL es un sistema Linux con certificación EAL
Quizá porque no les interesa o porque no tienen el dinero suficiente. Para obtener la certificación EAL, las empresas deben pagar un laboratorio certificado por el gobierno de EEUU. A mayor nivel EAL testeado, mayor gasto de dinero.
La certificación EAL, en suma, dice cómo de competente es un sistema operativo en materia de seguridad, al menos sobre el papel, pero deja de lado muchos otros aspectos. Para contestarlos, hay que recurrir a otros datos.
Vulnerabilidades: el criterio cuantitativo
Otra forma de comparar la seguridad de los sistemas operativos es mirar cuántas vulnerabilidades conocidas y sin parchear hay hasta la fecha. Se trata de agujeros de seguridad que, en potencia, podrían usarse para comprometer la seguridad del sistema operativo, pero su gravedad es variable.
Wikipedia recoge en una tabla las vulnerabilidades descubiertas por Secunia en los últimos años. Por razones de comodidad, las he dividido en dos grandes categorías: críticas y no-críticas.
| Windows 7 | Windows XP | Linux | Mac OS X | |
| Críticas | 2 | 11 | 0 | 1 |
| No-críticas | 3 | 31 | 17 | 7 |
Windows 7 y Mac OS X tienen un perfil similar en cuanto a vulnerabilidades, pero el núcleo de Linux se lleva la palma en cuanto al parcheo de agujeros de seguridad críticos. XP, en cambio, parece haber sido abandonado a su suerte.
Los datos proporcionados por CVE Details muestran para 2013 una cantidad de vulnerabilidades detectadas muy alta en el núcleo de Linux. Pero esto no implica que el sistema sea menos seguro; puede significar que lo auditan más.
| Windows 7 | Windows XP | Linux | Mac OS X | |
| 2013 | 69 | 58 | 128 | 25 |
Sistemas muy seguros, como OpenBSD, no suelen tener más de una decena de vulnerabilidades detectadas cada año. Esto es así por el ritmo de actualización comparativamente menor, y al acento que cada sistema pone en la seguridad.
En suma, estos números no parecen lo bastante concluyentes como para decantar el juicio hacia un sistema u otro. Hay que buscar la respuesta en otros factores externos al diseño de los sistemas operativos.
Factores externos: popularidad y educación
Hace diez años, la respuesta a la pregunta inicial hubiera sido clara: “el sistema más seguro es Unix / Linux”. Su arquitectura de seguridad era superior a la de cualquier otro sistema operativo de Escritorio, y su pequeña comunidad de usuarios estaba concienciada con la seguridad desde el principio.
Ahora esto ha cambiado. Windows, Linux tienen mecanismos de seguridad parecidos, y en algunos aspectos Windows 7/8 es incluso superior. Desde un punto de vista puramente técnico es difícil dar con un ganador (pero está claro que no es Mac OS X). Todos los SO principales son muy seguros.
Al tiempo que Windows se ha hecho más robusto, una parte de Linux se ha hecho muy popular. Ubuntu, la distribución de Linux más popular, es usada ahora por usuarios de todos los niveles, usuarios que a menudo ignoran la compleja arquitectura de seguridad que hay detrás de Linux.
¡Permisos de superusuario! Son tan fáciles de obtener y usar…
El usuario de Windows siempre ha tenido dificultades para entender para qué sirve un cortafuegos o qué son los permisos de usuario. Linux, cuando es usado por principiantes, no se libra de este problema: hay usuarios que ejecutan procesos como superusuario con total despreocupación y ligereza.
El foco de la seguridad se ha movido
En la última década, los sistemas operativos domésticos se han hecho más seguros, y las aplicaciones de seguridad, como antivirus y cortafuegos, se han hecho más sofisticados y capaces de suplir a las carencias de los sistemas.
Pero justo ahora, cuando los sistemas han alcanzado un nivel de seguridad acepable, el foco se ha desplazado a los navegadores y a las aplicaciones web. El sistema operativo se ha vuelto de repente irrelevante. Ahora tus datos están el navegador.
Chrome OS, una demostración de que un sistema operativo puede ser “todo navegador”
Cuando me preguntan cuál es el sistema operativo más seguro, mi respuesta suele ser “el menos usado”. El criterio de popularidad es importante: los ataques se concentran allá donde hay más usuarios, datos y dinero.
Es por eso que la discusión sobre qué sistema operativo es más seguro, aunque no ha perdido del todo relevancia, es menos urgente que antes. En este momento, tiene más sentido preguntarse cuál es el navegador más seguro.
Moraleja: el sistema operativo más seguro es aquel que sabes configurar…
Hay cosas que te lo pondrán más o menos difícil, como la cantidad de vulnerabilidades abiertas y el diseño del sistema, pero un sistema Windows bien configurado puede ser tan seguro o más que un Linux usado por un principiante que da permisos de root a todo. Las medidas de seguridad integradas son ya muy similares: lo que cambia es el usuario.
