Gartner critica el programa de recompensas de Microsoft

(02/12/2003 05:23): La consultora Gartner estima que los ataques cibernéticos no deben ser tratados a costa de los esfuerzos de los proveedores de software por asegurar la seguridad de sus productos.

MADRID: El noviembre pasado, Microsoft ofreció recompensas de 250.000 dólares por cualquier información conducente al arresto de las personas responsables de dos ataques recientes de código malicioso contra el sistema operativo Windows: el gusano MSBlast y el virus Sobig.

En un análisis, Gartner escribe que “Los ataques de código malicioso son actos criminales y deberían ser tratados como tales, pero no a costa de los esfuerzos de los suministradores de software de asegurar la seguridad de sus productos. Los cuerpos de seguridad deberían sin duda aumentar sus esfuerzos para investigar, identificar y perseguir a las personas responsables de los ataques a servidores y PCs de empresa. Sin embargo, los suministradores deberían concentrarse en hacer que su software fuera más resistente a los ataques en vez de desviar recursos financieros y de gestión a poner en prácticas medidas como las recompensas en metálico”.

“Incluso para un suministrador del tamaño de Microsoft (que sin duda puede permitirse las dos cosas, recompensas y desarrollo de seguridad) el tiempo de gestión y la atención son recursos limitados”, observa Gartner, agregando que “Los suministradores que no consigan resolver de forma adecuada la seguridad de sus productos pueden encontrarse con que la ley les hace responsables de los ataques bajo el bien establecido “principio del peligro atrayente”. Un peligro atrayente es cualquier condición inherentemente peligrosa, por ejemplo, una piscina sin protección en una vecindad llena de niños, de la que puede esperarse que tiente a los menores a hacerse daño. La responsabilidad por peligro atrayente ha sido aplicada en juicios que implicaban a menores de hasta 16 años, una edad común para los creadores de virus y gusanos. Internet es como una gran “vecindad en la red” y el software vulnerable conectado a Internet puede ser considerado como un peligro atrayente y hacer que la responsabilidad legal recaiga sobre los suministradores de tal software. Las empresas que instalan software al que no pueden aplicar los parches de seguridad con la rapidez suficiente para mantenerse seguros también podría ser responsables ante la ley”.

A la luz del análisis anterior, Gartner concluye que “Centrarse en arrestar a los atacantes después del ataque puede terminar siendo más caro para las empresas que una buena política de prevención de intrusiones. Para que los programas de recompensas tengan éxito, las empresas necesitarán invertir en capacidades forenses para apoyar las investigaciones de las fuerzas de seguridad y para preservar la evidencia de forma que se cumplan los rigurosos requerimientos legales. Las empresas deberían continuar centrándose en la prevención de intrusiones y deberían enfatizar la seguridad del software en todas las licitaciones de ofertas y decisiones de actualización”.

www.microsoft.com