La gran cantidad de software de seguridad que no es de Microsoft y los parches de seguridad de los SO Microsoft atestiguan la debilidad fundamental de los SO Microsoft en comparación con los sistemas operativos UNIX/Linux. Esas herramientas de terceros, antivirus y remedios de seguridad simplemente no son necesarios en UNIX/Linux. Para ser justos, todos los sistemas operativos pueden ser vulnerables a abusos maliciosos, pero se trata de la gran diferencia para afrontarlos entre UNIX/Linux y los sistemas operativos de Microsoft.
Windows NT y 2000 son vulnerables a más de sesenta y cinco mil virus de ordenador conocidos (cuando escribí este artículo por primera vez en 1999, la cantidad era acerca de cuarenta mil) mientras que el número que afecta a UNIX/Linux se puede contar con los dedos de una manoy solo pueden apropiarse de un sistema si el usuario root está operando directamente en esa máquina mediante un login de root (un paso absurdo en un servidor activo, del que caso no se habla). XP es vulnerable a exactamente los mismos virus que sus predecesores de Microsoft, lo que indica claramente que Microsoft rehusa "reforzar" sus sistemas operativos.
Solo en 1999, los virus Chernobyl, Melissa y Worm causaron daños incontables a los ordenadores Microsoft de todo el mundo, debido a las vulnerabilidades de seguridad del software Microsoft en los sistemas operativos Microsoft. De nuevo en el 2000, el virus "I Love You" se propagó a través de las máquinas Microsoft causando daños por valor de varios millones de dólares en datos perdidos y pérdida de productividad. Como en 1999, las máquinas UNIX y Linux sólo se vieron afectadas de forma indirecta, no por ataques directos de esos virus contra ellas (no hubo ninguno) sino porque las máquinas UNIX/Linux se usan de forma habitual como servidores para transportar los virus y gusanos que son tan letales para los productos Microsoft.
El ataque de Julio de 2001 de los gusanos "Code Red" y "Sircam" y el asalto de Septiembre de 2001 del gusano "NIMDA" (expertos en segudridad de computadoras estimaron que tuvo un coste de 2 billones de $ para las compañias de los Estados Unidos sólo) demostraron una vez más la seguridad inferior de los sistemas operativos Microsoft Windows NT y 2000, así como del software servidor Microsoft IIS. Una vez más, UNIX y Linux se mostraron superiores, sin efectos negativos directos. Como se indica en el enlace posterior, el Gartner Group avogó por el rápido abandono de los productos de servidor de Microsoft. Más aun, el fabricante de software de servidor web Halcyonsoft ha descubierto que IBM ha implementado políticas corporativas que prohiben los servidores Microsoft IIS en sus sitios web conectados a Internet. A pesar de todo algunos se intalaron de forma errónea y esos sitios web basados en IIS han sido asaltados y desconfigurados varias veces en el 2001. Incluso Microsoft admite que uno de sus propios servidores fué infectado tres veces con el gusano Code Red durante su primera configuración en Internet.
El software de Microsoft especialmente culpable incluye su línea de servidores de mensajería Exchange (principalmente para correo eletrónico), el servidor web IIS y el cliente de correo electrónico para escritorio Outlook (los tres han sido citados de forma especial por sus vulnerabilidades de seguridad, pero muy especialmente el producto IIS). Las alternativas UNIX/Linux a dichos productos Microsoft incluyen iPlanet y Lotus Notes para la mensajería y el servicio web, así como las opciones Open Source de servidores de correo tales como el venerable pero mejorado Sendmail o Qmail, y el popular servidor web Apache.
Un comentario que circula por los medios relacionados con las TI (prensa, web, etc) intenta sugerir que la cantidad de abusos de seguridad del software Microsoft puede explicarse como resultado directo de su popularidad. Esta teoría sostiene que a medida que crece la adopción y el uso de un tipo de software, lo mismo ocurre con la cantidad de programación ilícita dirigida contra él. Puesto que un análisis sobrio de los incidentes de seguridad publicados en sitios web tales como CERT no muestra ese patrón, debemos ignorar este argumento. Puede que la prueba más simple contra él se dé en la arena del software de servidor web, en la cual el servidor web Open Source Apache mantiene una ventaja de 3 a 1 en el uso frente al servidor IIS de Microsoft, y sin embargo la profundidad y velocidad de depredación del producto de Microsoft (debida a su actitud de seguridad inadecuada) minimiza los relativamente oscuros abusos de Apache, que se han corregido de forma rápida en las nuevas versiones. ¿Hay programas maliciosos que afectan a UNIX/Linux?. Por supuesto, pero defenderse de ellos es rutinario, sin dificultades y sin coste.
En relación a los sistemas de clustering de alta disponibilidad de Microsoft Datacenter mencionados arriba, los administradores locales no tiene acceso a los parches de seguridad y Hotfixes en caso de crisis, puesto que Datacenter sólo está disponible en el vendedor y no es modificable por el cliente. En el caso de los gusanos Code Red y Nimda, los administradores locales se hallaron de manos atadas y estas instalaciones de misión crítica fueron vulnerables durante días, especialmente porque la mayoría de los sistemas Datacenter usan el servidor web inseguro Microsoft IIS (que Nimda atacaba de forma específica) para proporcionar capacidades de servicios de terminal. El resultado es que un sistema de misión crítica muy caro podía estar parado durante días hasta que se encontrara una solución. Los entornos de alta disponibilidad de UNIX/Linux no son susceptibles a dichos ataques.
Los administradores de estaciones de trabajo y servidores Microsoft Windows dedican cantidades considerables a proteger y esterilizar sus máquinas de ataques. Supuestamente Microsoft está preocupada porque la "experiencia" del usuario se vea reducida por una actitud de seguridad adecuada. Se podría ver esta situación como el traspaso deliberado del coste de la seguridad a los grupos locales de TI, lo que significa mayores costes en software y mano de obra para soportar los productos de baja seguridad de Microsoft. De hecho, a finales del 2002 Microsot ha dejado caer la idea de cargar a los clientes las actualizaciones de seguridad, añadiendolo a su ya alto TCO.
Todo lo que un comprador potencial puede hacer es o bien aceptar el riesgo de seguridad de usar SOs Microsoft recién liberados o bien esperar a que los parches y Hotfixes de Microsoft por fin eleven el nivel de seguridad del SO a un nivel aceptable. Como se ha mencionado arriba, históricamente Microsoft ha sustituido sus SOs antes de que pudieran alcanzar dicha base. Ademas, los líderes de TI no deben olvidar que existe el coste adicional del software de seguridad no Microsoft, como el de Symantec, McAffee y Seagate, entre otros, que debe tenerse en cuenta en los presupuestos.
Microsoft asegura que Windows XP es su sistema operativo más seguro de todos los tiempos. Durante la instalación o primer uso, todos los ordenadores XP deben registrarse como parte del requisito de "Activación de Producto" de Microsoft. Puesto que el SO instalado desde CD está obsoleto antes incluso de ser ejecutado (un problema que afecta a todos los SOs comerciales) es necesaria una conexión de red o un módem para poder activarse "adecuadamente", usando la característica "Actualización Automática" de Microsoft. En Diciembre de 2001, poco después de su publicación, se descubrió que Windows XP exhibía una característica que se puede denominar objetivamente un agujero de seguridad del tamaño de un camión: la activación por defecto de la tecnología "Plug & Play Universal" de Microsoft, que permite a los ordenadores remotos conectarse directamente a la máquina local al nivel del sistema, eludiendo toda noción de autenticación de la entidad remota. Esencialmente, la máquina no parcheada está a merced del tipo de ataque más letal.
Puesto que los ordenadores XP deben "llamar a casa" antes de que puedan ser configurados (o parcheados) correctamente, este agujero deja a los ordenadores XP a merced de todo tipo de ataques durante las primeras fases de uso, lo que significa que toda nueva instalación de XP tiene un periodo de vulnerabilidad grave que no puede evitarse. El problema es tan intrínseco del SO Microsoft Windows XP que sólo un rediseño de XP lo remediará. Los ejecutivos de Microsoft han sido interrogados por el FBI en relación a este asunto, y Windows XP ha sido elevado al primer puesto de la lista de asuntos de seguridad serios del Centro de Protección de Infraestructura Nacional del gobierno de los Estados Unidos. Para mediados de Enero, se ha hecho evidente que los parches que ha producido Microsoft para solucionar el agujero del Plug & Play Universal y otros asuntos han creado serios problemas por sí mismos. Varios profesionales de TI han informado que una ráfaga de Actualizaciones Automáticas desde Microsoft ha dejado muchas instalaciones XP claves y dispositivos periféricos completamente inutilizables. A su favor, decir que Microsoft está luchando por solucionar los asuntos de seguridad y rendimiento con rapidez. En su contra, Microsoft sigue negándose a proporcionar documentación, o incluso indicaciones de los contenidos de los parches, a los profesionales de TI, haciendo que la depuración y correción de errores de los problemas de la Actualización Automática sean casi imposibles.
Microsoft le ha dado otra vuelta de tuerca a la naturaleza del "llamar a casa" de su SO Windows XP con el lanzamiento de su volúmen de acuerdo de licencia Derechos de Uso del Producto (PUR) (publicada en la web de Microsoft y modificada con frecuencia sin publicidad ni notificación a los clientes). En la sección sobre Windows X Profesional, en el apartado "Componentes de Servicios basados en Internet" se lee, en parte: "Ustéd reconoce y admite que Microsoft puede comprobar automáticamente la versión del Producto y/o componentes que está usando y puede facilitar actualizaciones o correciones del Producto las cuales serán descargadas automáticamente a su Computadora de Estación de Trabajo." Tomandolo al pié de la letra, Microsoft se otorga carta blanca para en entrar a las computadoras con Windows XP en cualquier lugar y en cualquier momento. Como "propietario" de la máquina(s) en cuestión, la organización local de TI tiene muy dificil la opción de eliminar por completo estos accesos, y de hecho se coloca en la torpe posición de no tener control sobre la privacidad y seguridad de las computadoras con XP. Implícito está que todas las computadoras con XP deben ser accesibles por la red para Microsoft durante todo el tiempo con el fín de recibir las transacciones de Actualización Automática. Consejo: siempre antes de confiar en el uso de XP, haga que el personal legal de su corporación revise la cuestión de si desactivar la Actualización Automática anularía este "acuerdo" con Microsoft. Las historia nos recuerda que incumplir los acuerdos de usuario de Microsoft puede ser un asunto sucio y desafortunado.
El 15 de Enero de 2002, Bill Gates, presidente de Microsoft, envió un mensaje de correo extraordinario titulado "Computación digna de confianza" a los empleados de Microsoft de todo el mundo, pero que fué profusamente difundida en notas de prensa a través de los medios de noticias. En esta misiva, Gates implora a sus trabajadores que eleven la noción de seguridad a la "máxima prioridad", haciendola "mas importante" que cualquier otro de los trabajos de la compañia. Con una desorientación desafortunada, Gates opina que este nuevo enfoque de la seguridad en Microsoft se debe a las consecuencias de los trágicos ataques terroristas en Nueva York del 11 de Septiembre de 2001. Esto es claramente torpe y engañoso, pues las críticas a los pobres esfuerzos en seguridad de Microsoft se remontan a los años 80. Muchos en la industria de TI sugieren que la carta de Gates es el reconocimiento de que la seguridad nunca tuvo antes una alta consideración en Microsoft. La pregunta inevitable es en qué medida una mentalidad tan necesaria puede inculcarse en los anteriores relajados caminos de esta organización. Además, ese cambio de rumbo en el enfoque de la corporación debe hacerse con rapidez, frente a la ambiciosa y mal concebida estrategia .NET. Las prisas por encima de la eficacia será desatrosa.
Es dificil confiar en lo concerniente al nuevo sentido de la seguridad en Microsoft cuando incluso ellos no utilizan sus propios productos de seguridad. SQL Labs, grupo de desarrollo de Microsoft para el Servidor SQL, han optado por renuciar al uso del Servidor ISA (Aceleración y Seguridad de Internet) de Microsoft, del que los vendedores de Redmond dicen que defiende a las redes de gusanos y virus como Code Red, Nimda y otros. La aplicación de seguridad NetScreen de la serie 500 está haciendo esta tarea, aunque en la web de Microsoft continuan dando razones por las que ISA es mejor.
Como se ha mencionado anteriormente, la actitud de seguridad de los productos de Microsoft es casi siempre de "permisividad", que es una postura potencialmente desastrosa en los entornos de computación actuales. La filosofía UNIX/Linux, con una actitud de seguridad por defecto de "cerrado a cal y canto", significa que los abusos son la excepción en lugar de la norma.