Por: Carolina Botero Cabrera

El software obsoleto es un riesgo de seguridad digital

Uno de los principales expertos de ciberseguridad de Microsoft, Chris Jackson, publicó la entrada “Los peligros de Internet Explorer como navegador predeterminado”. Allí reconoce que el navegador ya no es confiable. Recomienda que no sea el navegador predeterminado. Pide dejar de usarlo por “navegadores más modernos”. Todo indica que las empresas que lo sigan requiriendo para acceder a sus servicios están exponiendo a las personas a riesgos de seguridad digital.

Jackson afirma que quienes sigan usando Internet Explorer se están marginando de media internet, porque ya no hay desarrolladores probando sus productos para ese navegador y la Microsoft no lo actualizará. El navegador es tan solo una “solución de compatibilidad” que usan empresas que hicieron sus desarrollos para lo que hace años era el navegador dominante del mercado y la inercia los mantiene allí.

Entiendo que para la mayoría de las personas, como usuarias finales, el cambio no es tan sencillo como parece. Creo que en Colombia hay sectores en los que la migración de los servicios de las empresas será lenta, pero hay otras a las que podemos exigirles más.

En primer lugar, en países como Colombia el monopolio de Windows ha significado que la gente, por regla general, use como navegador Internet Explorer, ni se lo cuestionan. Compran un computador, lleva Windows y de paso Internet Explorer, punto.

Atención, esto no fue lo que pasó en el mundo. Esta práctica fue rechazada y combatida mediante procesos legales por prácticas anticompetitivas. Esto sucedió en 1998 en EEUU y durante la siguiente década en Europa. Como resultado de estos procesos, Microsoft debió incluir, activamente para Windows, la opción de permitir a las personas instalar otros navegadores. Así se favoreció el desarrollo de competidores como Firefox o Chrome. 

Sin embargo, esas medidas se tomaron en los mercados estadounidenses y europeos. En Colombia no pasó nada. Acá todo equipo se vende con Windows y no tienen que ofrecer otros navegadores. La persona que lo compra debe estar sensibilizada y tomar la decisión de usar una alternativa. Por eso, en Colombia la recomendación de Jackson pasa por explicar activamente que existen alternativas, que hay “navegadores más modernos”, mejores y más seguros. Es una tarea pendiente.

De otra parte, el otro problema al que Jackson apunta, que las empresas no han migrado las soluciones que ofrecen hacia otros navegadores, es también particularmente importante en Colombia. La capacidad de nuestras organizaciones de migrar es poca. 

En el texto, Jackson dice –palabras más, palabras menos– “ya entendí, en los hospitales los equipos técnicos son chicos”. Así, parece concluir que eso los ha dejado con la solución sencilla –que era la promesa de Internet Explorer cuando dominaba el mercado– y que por eso no migran. El texto de Jackson busca convencer a los técnicos de que los rezagados deben dejar de usar Internet Explorer, buscar los recursos de donde sea y migrar.

La advertencia de Jackson, desafortunadamente, también nos alerta sobre cómo en nuestros países el tema no es tan fácil. Sectores como salud o educación seguirán enfrentando importantes riesgos porque es muy difícil y costoso hacer esta actualización para sus servicios. 

Esto no puede justificar todos los rezagos. Por ejemplo, en grandes empresas con infraestructuras de sistemas e interacción por internet, con millones de personas usuarias, que cumplen funciones públicas, como la DIAN, podemos imaginar que hay que priorizar los recursos para esa migración. No hacerlo, mantener su conexión con Internet Explorer y otras tecnologías obsoletas genera además incentivos para que la gente no las abandone.

La Fundación Karisma, donde trabajo, tiene un laboratorio de seguridad y privacidad llamado K+Lab, que, entre otras cosas, hace análisis de los sitios web del Estado para ver cómo protegen los datos de las personas que las usamos. En 2017 estudiaron el sitio web de la DIAN

Se trata del sitio web colombiano más usado del país y por la que pasa toda la información económica como quiera que se trata de impuestos. Entre los hallazgos de KLab estaba que la firma digital –por tanto, toda la parte transaccional–  era a través de Windows y funcionaba sobre Internet Explorer y Chrome. Encontramos, además, otras tecnologías obsoletas, con problemas similares al de Internet Explorer: para el uso de mecanismos digitales se requiere Flash y usar la Máquina Virtual Java.

K+Lab sobre este tema no encontró nada nuevo. Durante años la gente se quejaba de cómo la DIAN violaba la neutralidad tecnológica en su sitio web, obligando a quienes usan Mac y Linux a hacer maromas para cumplir su obligación contributiva (la solución de máquina virtual Java) y que usan herramientas obsoletas, hasta Actualidad Panamericana se ha burlado de esta situación.

Afortunadamente, después de haber entregado nuestro informe a la DIAN, y antes de hacerlo público en 2018, el problema con Internet Explorer fue solucionado. Ya el software corre en otros navegadores pero se mantienen los avisos que recomiendan el uso de ese navegador, lo que siendo algo menor, no tiene sentido si pensamos en que no solo no debe usarlo, no debe recomendarlo y sí debe fortalecer alternativas más seguras.

De otra parte, mantienen el uso de Flash y la máquina virtual Java, que ya no tienen mantenimiento por parte de sus desarrolladores y por tanto representan también riesgos de seguridad digital.

De acuerdo con el Conpes de ciberseguridad debemos construir corresponsabilidad entre los diferentes sectores –público, privado, academia y sociedad civil–. Esto supone que todos los actores aportemos en fortalecer la seguridad digital. Por tanto, dejemos de usar software obsoleto. Como organizaciones busquemos evitar requerir para nuestros servicios software obsoletos. Si a pesar de todo no podemos evitarlo, busquemos formas de mitigar los riesgos.

 

Buscar columnista

Últimas Columnas de Carolina Botero Cabrera

Vales menos que una bala

Seguridad ciudadana a segundo debate

Analizando el hackeo a WhatsApp