Microsoft
acaba de anunciar que con la llegada de Windows 10 las actualizaciones de seguridad, que se publican de forma
periódica los segundos martes de cada mes, llegarán
a los sistemas de los usuarios (PCs, tabletas y teléfonos) tan pronto estén
disponibles.
Si bien este cambio solo se aplicará a los usuarios domésticos. Los
usuarios corporativos podrán para aprovechar el nuevo "Windows
Update for Business", un servicio gratuito para todos los
dispositivos Windows Pro y Windows Enterprise, que permitirá a los
administradores adoptar el sistema de actualización temprana de los usuarios
domésticos.
Según el anuncio realizado en la
conferencia Ignite de Microsoft,
la compañía planea distribuir los parches a los usuarios de Windows 10 tan pronto como estos estén disponibles
(en forma de 24/7). Esto claramente reducirá el tiempo que los ordenadores
quedan vulnerables a nuevas amenazas. Se verán beneficiados por este nuevo
sistema todos los dispositivos que ejecuten Windows 10, ya sean PCs, tabletas o
teléfonos inteligentes.
Vuelta a los orígenes
Microsoft optó por simplificar el
problema y reducirlo a lo absurdo: si no quieren muchos parches pequeños de
forma periódica, daremos uno grande una vez al mes. La información sobre las
actualizaciones de Microsoft se veía reducida de
esta forma a una vez al mes. El
impacto mediático también se veía reducido.
Esta medida fue duramente
criticada en su momento en Hispasec, de hecho en aquel momento se veía más como un movimiento
de márketing que algo realmente pensado en la seguridad de los usuarios.
El tiempo y la cantidad de
compañías que han adoptado la política de distribución de parches de Microsoft
(Adobe, Oracle…) parecía que habían dado
la razón a Microsoft. Algunas adoptando incluso el mismo día para la publicación
de sus actualizaciones. Lo cual, en la actualidad, puede convertir algunos segundos
martes de mes en un verdadero infierno de actualizaciones para un
administrador.
Finalmente las empresas y los
usuarios finales, parece que habían aceptado el modelo de distribución de
actualizaciones de forma mensual. Ahora Microsoft
vuelve a sus orígenes y volverá a publicar los parches según estén disponibles.
Pero esta vuelta atrás, no hace sino pensar que durante más de 12 años nos ha
tenido engañados haciéndonos pensar que la distribución de parches mensual era
el modelo más beneficioso para todos. ¿Por
qué lo que antes era malo ahora es bueno?
Aunque como se indica esta nueva
política solo afecta a los usuarios finales, y no a las empresas y
corporaciones. Ahí puede estar gran buena parte de la diferencia, en una gran
corporación con múltiples sistemas, instalaciones y plataformas, sí puede ser
necesaria una cierta planificación para la instalación de los parches.
Planificación que evidentemente no necesitan los usuarios finales, y que
actualizarán su sistema en el momento que más les convenga, por ejemplo para
realizar el casi obligado reinicio en cualquier actualización.
Pero según se plantea esta nueva
política de distribución, ahora se abre otra clara problemática, los usuarios finales podrán recibir
actualizaciones mucho antes que una corporación. Lo cual en esta ocasión
abre una ventana de tiempo entre que una vulnerabilidad es parcheada en un
sistema doméstico y que esa misma corrección esté disponible para un entorno
corporativo.
Con un problema adicional. Como
es sabido muchos exploits ven la luz en base a un análisis de ingeniería
inversa sobre los parches una vez que son publicados, algo conocido como "Patch tuesday, exploit wednesday".
¿En qué medida una actualización publicada para un sistema doméstico, no podrá emplearse para conseguir un exploit que
permita atacar empresas aun sin parchear y sin siquiera la posibilidad de
obtener ese parche?
Es posible que aun quede mucho por aclarar sobre esta nueva
política de distribución de parches. Pero esperamos que se aclararen todas
las dudas, que sea lo mejor para los
usuarios y que al contrario de lo que ocurrió hace años, no quede lugar para la
polémica.
Más información:
Ignite
2015: New solutions fuel innovationand transformation for IT pros
Announcing Windows Update for Business
una-al-dia (19/02/2002) Microsoft STPP, ¿estrategia
tecnológica o lavado de cara?
una-al-dia (13/10/2003) Microsoft: marketing vs. seguridad
una-al-dia (12/11/2003) Microsoft distribuye los parches de
noviembre
una-al-dia (09/12/2003) Microsoft no distribuye los parches
de diciembre
una-al-dia (15/12/2003) Explicaciones de Microsoft sobre su
nueva política de actualiz
una-al-dia (24/12/2003) Respuestas a la política de
actualizaciones de Microsoft
Windows 10
spells the end of Patch Tuesday
