Cuando un software sale al mercado (por ejemplo Windows de Microsoft) ha pasado una batería de pruebas realizadas por el fabricante. Pero al lanzarse y hacerse de dominio público, todo el mundo tiene la oportunidad de buscar y probar nuevas características del producto. Algunos usuarios buscan los puntos débiles en el software para intentar acceder a equipos sin autorización, ejecutar otros programas sin permiso, o simplemente dañarlo. Estos puntos débiles de seguridad que hacen al software susceptible ser manipulado o dañado se denominan vulnerabilidades. La aparición de nuevas vulnerabilidades es inevitable, pero ¿cómo minimizar el riesgo de sufrir sus consecuencias? La respuesta es sencilla: actualizar el software con los últimos parches, actualizaciones o versiones. De esta manera se evita que las vulnerabilidades conocidas y ya solucionadas afecten al usuario.

Las actualizaciones no solo son necesarias para el sistema operativo (Microsoft Windows en la mayoría de los casos) sino que deben tenerse en cuenta  para todo el software instalado en el equipo: desde el antivirus, el navegador (Firefox, Iexplorer, etc.), el lector de ficheros PDF, el paquete ofimático, reproductor de música/vídeo, etc.. ¿Y cada cuánto tiempo se ha de actualizar? La periodicidad varía dependiendo del tipo de software y de cuando se detecten las vulnerabilidades. Lo habitual es actualizar al menos cada dos semanas, pero no hay una regla única. Por este motivo se recomienda utilizar las funciones de actualización automáticas que tienen disponibles la mayoría de aplicaciones. Habitualmente el software avisa mediante una ventana emergente de la necesidad de instalar una nueva actualización o parche. Es muy importante que el usuario atienda esta petición y realice la actualización sin demora. En caso de no tener habilitadas las actualizaciones automáticas, el fabricante suele publicar éstas en su Web. En el caso de Microsoft, la dirección desde la que se puede comprobar el estado del software y actualizarlo es la siguiente: http://update.microsoft.com/microsoftupdate&ln=es

Para tener un control total sobre el estado de actualización y vulnerabilidades de un equipo, existen algunas aplicaciones muy útiles. Un ejemplo es “Secunia Personal Software Inspector” (http://secunia.com/vulnerability_scanning/personal/) que analiza a nivel local un equipo e informa sobre los programas desactualizados, inseguros o sin soporte.

Como conclusión, no hay que olvidar actualizar periódicamente el software y la próxima vez que se solicite una actualización automática, hay que realizarla sin demora ya que es la única manera de estar libre de vulnerabilidades conocidas y por tanto, estar más seguro.

El medio utilizado para pagar va a depender de la tienda concreta donde se compre. No todos los sitios web o tiendas admiten los mismos medios de pago. Los más comúnmente aceptados son la tarjeta de crédito, el contrarembolso y la trasferencia bancaria. Tanto en el pago con tarjeta como mediante trasferencia el comprador es susceptible de ser engañado al estar enviando datos “sensibles” por la red. Actualmente existen algunas variantes que ofrecen una seguridad adicional:

• Tarjeta virtual: se trata de una tarjeta VISA con la particularidad de ser de prepago. Esta tarjeta no se emite en plástico como es habitual, sino que únicamente se genera un número de tarjeta, un código de seguridad (CVV) y fecha de caducidad. Se emite sin saldo, y previo al inicio de la compra, el usuario debe realizar una carga por el importe deseado. Así, si se va a comprar algo que cuesta 50 Euros, se asegura que como máximo el cargo que se realizará en la tarjeta va a ser éste y no uno superior. Además, como después de la compra la tarjeta queda sin saldo, se evitan posibles usos fraudulentos en el futuro. Actualmente disponen de tarjeta virtual la mayoría de los grandes bancos, y su coste puede ir desde una pequeña cuota anual hasta gratuita.

• Pay-Pal: Se trata de una entidad de confianza a quien se le comunican los datos bancarios del comprador. Este servicio actúa como intermediario entre el comprador y el vendedor, asegurando la confidencialidad del pago. Para su uso, el usuario debe darse de alta en www.paypal.es e introducir sus datos de cuenta bancaria o tarjeta de crédito. A la hora de realizar el pago, el portal de compras redirigirá al usuario a Paypal, y será éste quien realice el pago sin ningún tipo de comisión para el comprador. Al ser Paypal quien realmente paga al vendedor, nadie excepto esta entidad conocerá los datos de tarjeta o cuenta bancaria, evitándose un posible fraude.

• Mobipay: Este medio de pago esta cayendo en desuso, y entidades como el Banco de Santander ha dejado de admitirlo. Tras crear una cuenta en Mobipay y comunicarlo al banco, puede comenzar a utilizarse. Permite el pago en tiendas físicas y virtuales, pero tiene coste  por cada transacción realizada y una comisión anual bancaria. El pago se realiza mediante su teléfono móvil y antes de realizar cualquier transacción, debe autorizarse ésta mediante el envío de un SMS.

Y si todavía se necesita una mayor seguridad, se tiene la opción de combinar estos medios de pago. Por ejemplo, se puede utilzar Paypal facilitando a este servicio los datos de una tarjeta virtual. ¡Eso si, a la hora de hacer una compra, no hay que olvidar recargar la tarjeta con saldo suficiente!

Existen dos aspectos fundamentales a la hora de plantear dicha comparación: el nivel de seguridad ofrecido y la usabilidad del producto.

Por un lado, es importante establecer las comparaciones entre elementos de similar tipo o alcance. No debe confundirse la naturaleza de una solución antivirus con la de una suite de seguridad integrada que incluirá, además de una herramienta antivirus, capas de protección adicionales como firewall, módulo anti-malware, etc., ofreciendo por tanto un nivel de seguridad mayor.

Limitando la comparación específicamente a los módulos o capas antivirus, en general no es correcto afirmar que los productos de pago ofrezcan mayor nivel de seguridad que las soluciones gratuitas. La calidad del producto dependerá fundamentalmente del motor (o motores) antivirus que emplee y sus medidas de desempeño en diferentes factores (capacidad de detección, falsos positivos, algoritmos heurísticos, velocidad, consumo de recursos, etc) las cuales varían mucho de un fabricante a otro (e incluso de una versión a otra) con independencia de ser o no de pago. Dentro de un mismo fabricante, en la gran mayoría de los casos una suite de seguridad y su correspondiente versión “doméstica” emplean el mismo motor antivirus, por lo que su desempeño a nivel de motor es idéntico.

De este modo, a nivel de seguridad se podría concluir que una suite integrada ofrecerá funciones y capas adicionales, pero no necesariamente un mejor desempeño antivirus.

Con respecto a estas capas adicionales, existen en el mercado alternativas gratuitas de diverso tipo, como firewalls, herramientas anti-malware o barras de detección de phishing, pudiendo construirse una suite de seguridad de modo gratuito. Pero esta alternativa presenta a su vez una serie de inconvenientes directamente relacionados con el segundo aspecto principal a analizar: la usabilidad.

Por usabilidad se entenderá la facilidad de instalación, configuración, uso, mantenimiento y soporte. En general, las suites de seguridad integradas presentan una mejor usabilidad, proporcionando:

- Instalación de un único producto, compuesto por módulos o capas.
- Interfaz común para todas las capas.
- Perfiles de configuración “por defecto”, que abarcan a todas las capas.
- Interfaz y proceso de actualización común.
- Compatibilidad e integración transparente entre módulos/capas.
- Soporte técnico del fabricante.

Estas suites integradas poseen en general ciertos inconvenientes, como un excesivo “intrusismo” en el sistema operativo, consumo elevado de recursos (aunque este aspecto es muy variable de un producto a otro), incompatibilidades con otros productos de seguridad o poca flexibilidad en una configuración avanzada.

De este modo, y a la vista de los aspectos analizados, es posible obtener una serie de conclusiones:

Por un lado, que los denominados antivirus gratuitos no son necesariamente inferiores a las alternativas de pago del mismo tipo existentes en el mercado.

Por otro, que es posible complementar estos antivirus con otra serie de herramientas gratuitas de seguridad, generando una plataforma equiparable a las suites de seguridad integrada de pago. La idoneidad de una u otra alternativa dependerá de diversos factores, como el gasto que se quiera realizar, el perfil y nivel de conocimientos del usuario, las funcionalidades que se deseen implementar, o la confianza en un determinado producto o fabricante.

Y en general, es un buen momento para hacer una copia de seguridad de los datos y evitar problemas futuros.

Lo que ha sucedido realmente con el archivo es que se ha invalidado en el sistema la referencia al mismo, pero de hecho aún sigue presente de forma íntegra hasta que algún día, por casualidad, el sistema vuelva a escribir otro archivo en el mismo sitio que estaba el que se borró, ¡incluso aunque se haya formateado el dispositivo! Mientras tanto, a pesar de que aparentemente no se pueda recuperarlos con las herramientas del sistema, existen otros programas con los que sí se puede.

Cada vez se emplean memorias USB más grandes para transportar los documentos y compartirlos con otros usuarios, por lo que la cantidad de información que podría recuperarse si cayeran en malas manos es igualmente mayor, y lo mismo puede aplicarse a los discos duros de nuestros ordenadores.

La solución a este problema es el empleo sistemático, en aquellos ficheros que consideremos más sensibles, de herramientas de borrado seguro. Existen en el mercado muchas soluciones pero aquí se proponenlas siguientes:
- Eraser: disponible en la dirección http://eraser.heidi.ie/ . Tiene una versión portable que se puede incluir en las memorias USB para tenerlo siempre a mano.
- DBAN: Gratuito. Disponible en http://www.dban.org/ . Borrado de discos duros completos.
- OnTrack Eraser: Comercial. Disponible en http://www.ontrackdatarecovery.es .

Estas herramientas se proponen para su uso en el ámbito personal.

Además del empleo de este tipo de herramientas de borrado lo más aconsejable para proteger los datos es emplear una herramienta de cifrado para crear un contenedor en el que transportar y guardar los archivos más sensibles

En un entorno corporativo, los dispositivos de seguridad perimetral, como firewalls hardware, IPS y servidores proxy monitorizan y filtran el tráfico de red, proporcionando un alto grado de seguridad.

No obstante y por lo general, en un entorno doméstico un equipo con conexión a Internet estará mucho más expuesto, puesto que la única “barrera” entre el equipo e Internet será el módem o router-módem que gestiona la conectividad con su proveedor de Internet (ISP).

Estos módems/routers suelen disponer de diferentes mecanismos de seguridad, como el filtrado de conexiones entrantes/salientes, apertura/bloqueo de puertos, NAT, etc. No obstante, las funcionalidades disponibles, su flexibilidad y su rendimiento pueden variar mucho de un dispositivo a otro.

Por este motivo, es interesante disponer de una capa adicional de seguridad, conformada por un firewall software o firewall personal. Esta aplicación, instalada localmente en el equipo a proteger, monitorizará en tiempo real el tráfico entrante y saliente al equipo, ofreciendo las siguientes funciones principales:

-    Filtrado de conexiones entrantes/salientes: bloquear, descartar o permitir conexiones en función de diversos parámetros, como la dirección (entrante/saliente), protocolo, ip, puerto y aplicación.
-    Control de puertos: es posible configurar y controlar el estado de cada puerto del equipo.
-   Registro del tráfico generado.

Adicionalmente, y en función de la aplicación empleada, es posible disponer de otras muchas funcionalidades, entre otras:

-    Modo de aprendizaje: toda conexión no contemplada en las reglas ya definidas generará un aviso en tiempo real, pudiendo decidirse si se permite o se bloquea, y crear una regla permanente. Esta funcionalidad es especialmente importante en la detección de programas maliciosos, como troyanos o bots, que intentan “llamar a casa” generando conexiones salientes no esperadas.
-    Control de modificación de aplicaciones.
-    Bloqueo de publicidad.
-    Control de ejecución de código ActiveX / Javascript.

Existen numerosas opciones para la elección de una firewall personal, tanto de pago como gratuitas, siendo los más comunes los firewalls personales presentes en los sistemas operativos Windows XP y Windows Vista. Asimismo, la mayoría de las suites de seguridad presentes en el mercado incluyen un firewall personal.

Desde el punto de vista del usuario, estas aplicaciones funcionan de manera muy similar a los servicios de correo web: el usuario accede al servicio mediante su navegador web y, una vez introducidos los datos de cuenta de usuario (generalmente gratuita), tendrá acceso a un interfaz equiparable al de las “suites” ofimáticas tradicionales, pudiendo crear y editar documentos, presentaciones u hojas de cálculo.

Estos son algunos ejemplos de estos servicios:
- Google Docs.
- Microsoft Office Live Workspace.
- Zoho Docs.

Su naturaleza on-line dota a estas aplicaciones de nuevas posibilidades, capacidades y mecanismos de trabajo. Algunas de las principales ventajas son las siguientes:
- Acceso a las herramientas ofimáticas desde cualquier ordenador con conexión a Internet, en cualquier plataforma, con mínimo consumo de recursos.
- Almacenamiento remoto de los documentos en la infraestructura del proveedor del servicio: acceso ubicuo a los datos, disponibilidad (almacenamiento redundante, backup).
- Compartición de documentos, espacios de trabajo colaborativo.

No obstante, esa misma naturaleza genera a su vez nuevos problemas y consideraciones de seguridad no presentes en las herramientas tradicionales, afectando a las diferentes dimensiones de seguridad:
- Confidencialidad / Privacidad: el almacenamiento remoto de los documentos en la infraestructura de almacenamiento del proveedor traslada a éste el control de los documentos del usuario y la responsabilidad de su custodia. Esta es una fuente de potenciales problemas de seguridad, tanto ante posibles ataques al proveedor del servicio como ante errores internos en la estructura o configuración del servicio. La posibilidad de compartir archivos con otros usuarios mediante una estructura de dominios y permisos complica aun más la gestión de los datos y su adecuada segregación, aumentando la posibilidad de que se produzcan “fugas” de información.
- Integridad / Disponibilidad: el usuario no tendrá control alguno sobre los medios de almacenamiento donde se ubican sus documentos. De este modo, la integridad y disponibilidad de los mismos dependerá de los mecanismos de seguridad y políticas que el proveedor haya implantado. Ataques sobre la plataforma del proveedor, fallos de la plataforma de almacenamiento o errores de configuración pueden comprometer la integridad y/o la disponibilidad de la información del usuario. Adicionalmente, el acceso tanto a la herramienta ofimática como a los documentos almacenados quedará supeditado a la disponibilidad de acceso a Internet.

A modo de ejemplo, cabe señalar el error de seguridad detectado en el servicio Google Docs en marzo del 2009, donde un error en el sistema de asignación de permisos hacía posible, bajo una serie de circunstancias, el acceso de usuarios no autorizados a documentos almacenados por el servicio.

En general, a la hora de valorar el uso de estos servicios es importante tener en cuenta sus características, sus limitaciones y los riesgos asociados, así como conocer adecuadamente las condiciones de servicio, políticas de uso y políticas de privacidad asociadas. Por último, reseñar que estos servicios ofimáticos en línea se engloban dentro del concepto cloud computing (nube informática) y, más concretamente, en el modelo SaaS (Software as a Service / Software como Servicio).

A continuación se señalan algunos de los principales riesgos y consideraciones de seguridad del Cloud Computing como plataforma de servicios remota, compartida y transparente para el usuario:

Control de Acceso y Segregación
Cuando un cliente almacena sus datos en la infraestructura de un proveedor de servicios en la nube otorga a éste el control de dichos datos, incluyendo la gestión de los mecanismos que establecen los controles de autenticación y acceso a dichos datos. De este modo, es fundamental conocer y comprender los mecanismos y arquitectura de seguridad que el proveedor ofrece para garantizar la confidencialidad e integridad de los datos de un cliente, de modo que no sean accesibles de modo ilegítimo por atacantes, otros clientes o incluso personal del proveedor.

Almacenamiento
Cuando se almacenan los datos de un cliente en una nube (bien mediante un servicio de almacenamiento en la nube o como parte integrante de otros servicios de software o plataforma) se asumen una serie de riesgos asociados al carácter remoto de dicho almacenamiento. La disponibilidad e integridad de estos datos quedan bajo el control del proveedor, responsable de proporcionar y administrar un servicio con los mecanismos necesarios para salvaguardarlos, como sistemas de backup, redundancia y tolerancia a fallos o cifrado de los datos.

Disponibilidad
El proveedor es responsable de proporcionar las medidas y salvaguardas necesarias para garantizar un determinar nivel de disponibilidad de la información y los recursos de su plataforma y servicios, que generalmente se traducirá en un acuerdo de nivel de servicio (SLA) con el cliente. No obstante, en un entorno de Cloud Computing  la disponibilidad de un servicio no depende únicamente de que el servicio se encuentre operativo, sino de que el cliente pueda acceder al servicio. De este modo, la disponibilidad del servicio queda también sujeta al correcto funcionamiento de la conexión de red entre cliente y proveedor del servicio. En función del tipo de nube (pública, privada) y de su ubicación, variará la topología de red involucrada en la conexión, pudiendo existir mayor o menor número de posibles puntos de fallo (ISP cliente/intermedio/proveedor, DNS local/global, etc.).

Virtualización
Una de las principales tecnologías que habilitan el Cloud Computing es la virtualización. La naturaleza dinámica de las máquinas virtuales (despliegue inmediato de nuevas máquinas, movilidad entre plataformas hardware, gestión de instancias, etc.) incrementa la complejidad de gestión del entorno y genera nuevos riegos y vulnerabilidades.

Resumiendo, en general, el Cloud Computing ofrece una alternativa a los mecanismos tradicionales de despliegue y oferta de servicios, definida por sus características de flexibilidad, escalabilidad y gestión de costes. No obstante, introduce una nueva serie de riesgos de seguridad, fruto de su naturaleza externalizada, remota, con gestión compartida y basada en entornos virtuales, que es importante conocer y tener en cuenta al valorar la contratación de un servicio en la nube.

Muchas aplicaciones, entre las que se encuentra Microsoft Office, almacenan metadatos junto con los documentos, ya sean ficheros de texto, audio, vídeo, bases de datos, presentaciones, hojas de cálculo, o de otro tipo. Los Metadatos son información relativa a un documento y adicional a éste, que ofrecen datos de utilidad en un entorno colaborativo. Pero, ¿qué información concreta se almacena en estos metadatos? La información depende de la versión de la aplicación de que se trate: Microsoft Office 2007 almacena mayor número de características que Office 2000 o cualquier otra versión anterior. Las versiones actuales de Office almacenan entre otros los siguientes tipos de metadatos:

Propiedades del Software: tales como nombre de usuario, iniciales, organización. Por defecto, si no se indica otro parámetro, el campo “nombre” es el identificador de cuenta de usuario del sistema. Si no se modifica, en los metadatos se encontrará por tanto el nombre de cuenta con el que el usuario ha entrado en el sistema.

Propiedades del Documento: tales como creador del documento, descripción, palabras claves, comentarios, etc.

Metadatos Ocultos: se trata de datos que se almacenan de forma oculta dentro de los ficheros y que son utilizados por el paquete Office internamente. Entre ellos pueden encontrarse el autor del fichero, fecha de creación, número de revisiones realizadas, último usuario en modificar el documento, última vez que se imprimió el documento, nombre de la impresora donde se imprime, ruta completa donde se almacenó el documento, sistema operativo, tiempo total de trabajo con el documento, etc.

Toda esta información permitirá obtener nombres de servidores internos de la organización, nombres de cuentas de usuarios, quién modificó un documento, cuándo lo modificó, desde dónde, qué software se utiliza en una organización, versiones, etc. Como ejemplo de lo sensible que puede resultar esta información, tomaremos de ejemplo el Gabinete de Tony Blair, que en 2003 publicó en un fichero Word información relativa a la infraestructura militar de Irak. Investigando los metadatos del documento, se descubrió que el fichero había sido editado por cuatro civiles de los que aparecieron sus nombres, rutas donde editaron el fichero e impresoras utilizadas. Finalmente se descubrió que el documento había sido plagiado de una antigua tesis de la primera Guerra de Irak, de más de quince años de antigüedad. Esto puso en duda la veracidad de la información al “reutilizar” documentos oficiales antiguos, y por tanto la capacidad del Gobierno Británico.

¿Qué podemos hacer para evitar esta situación? Es esencial “limpiar” los metadatos de cualquier documento que se cree o modifique, sobretodo si este va a ser publicado. Microsoft dispone de un complemento/herramienta para Office de fácil instalación llamada “Eliminar Datos Ocultos”. Una vez instalado, permite desde el menu “Archivo->Eliminar Datos Ocultos” limpiar de metadatos los ficheros Office.