¿Son realmente útiles los mensajes de aviso?

CortafuegosSeguridad

Aparecen las primeras consideraciones críticas respecto a la protección del venidero sistema operativo Windows Vista.

Muy recientemente Paul Thurrott, responsable de los portales WinSupersite.com y WindowsITPro.com, dedicados a la revisión de productos Microsoft Windows y a proporcionar información a la comunidad de usuarios profesionales de soluciones Windows respectivamente, ha publicado un artículo comentando diversos problemas que ha encontrado en sus pruebas de las versiones beta de Windows Vista que habitualmente le son proporcionadas para propósitos de evaluación.

En este boletín nos centraremos en la parte que atañe a la seguridad. El informe es extenso, y el lector queda invitado, si siente curiosidad, a su lectura completa.

Thurrott opina que la versión de Vista que ha analizado (Build 5308/5342) tiene un fallo importante, concretamente en el planteamiento del sistema de protección de cuentas de usuario. Este sistema, denominado por Microsoft UAP (User Account Protection) se presenta como una novedad importante en la plataforma, pero realmente no es nada nuevo. Como comenta Thurrott, este sistema es el habitual en sistemas derivados de UNIX, y es un mecanismo tan sencillo como impedir a los administradores realizar tareas potencialmente peligrosas sin que antes se hayan autenticado expresamente para dichas operaciones. Es lo que de un modo más coloquial se conoce como “proteger al usuario de sí mismo”, frente a acciones accidentales o no intencionadas que pudieran impedir un normal funcionamiento del sistema, o incluso, denegar completamente la funcionalidad del mismo.

Las críticas a UAP arrecian cuando, una vez analizado, se descubre como el modelo de prevención se basa, siempre en palabras del probador, en una constante y desesperante sucesión de ventanas de aviso de seguridad. Una simple descarga que coloque en el escritorio un inocuo acceso directo es motivo suficiente para que el sistema impida su eliminación sencilla, obligando al usuario al tránsito por diversos mensajes emergentes de seguridad.

Muchos verán este problema como un problema de usabilidad. Sin duda alguna lo es, pero tiene implicaciones en la seguridad. Bruce Schneier resume este pensamiento alegando que los mensajes de aviso no proporcionan a la larga seguridad, sobre todo cuando son continuados y no razonables, y terminan por ignorarse. Se perciben como molestias, y el usuario termina por pulsar y pulsar compulsivamente con tal de ver su aplicación en funcionamiento. Este tipo de comportamientos son relativamente frecuentes en soluciones que requieren aprendizaje, como por ejemplo, en los cortafuegos software.

El firewall va consultando al usuario si permite o no permite cierto tipo de tráfico. Si estos mensajes se producen sólo inicialmente y de una forma proporcionada y mesurada, cualquier usuario tendrá su firewall más o menos a su gusto de una manera rápida y cómoda, apareciendo eventuales cuestiones de autorización o denegación de la conexión según se añaden reglas al firewall que serán respondidas bajo demanda. Sin embargo, si los mensajes son continuos y para cualquier actividad es preciso informar constantemente al firewall, es frecuente que el usuario acabe por desinstalar el producto o bien responder a todo que sí, con tal de poder usar su conexión a Internet sin ver repetidos mensajes emergentes en su escritorio.

El problema llega cuando el aviso de seguridad realmente es significativo e importante. En ese caso, si el usuario ha tomado como comportamiento por defecto no prestar atención a los avisos buscando únicamente que el sistema le permita la operación deseada, lo más normal es que esa alerta pase inadvertida y el objetivo final de las medidas de seguridad queden anuladas por completo.

Los cuadros de diálogo sólo son efectivos cuando proporcionan al usuario un método efectivo para la toma de decisiones inteligentes, y sobre todo cuando son proporcionados y justificados. En caso contrario, las medidas de seguridad que teóricamente deberían proporcionar se transforman en molestias que no suponen seguridad alguna para el usuario.

Nótese que esta versión de Vista tan sólo es una versión de prueba, una beta para evaluadores. Por tanto es precipitado aventurar que será inexorablemente el comportamiento final del producto que se comercialice, si bien parece claro que Vista incluirá UAP como medida adicional de seguridad. Esperemos que para entonces se haya pulido esta característica lo suficiente para que suponga una medida de seguridad efectiva y no una molestia para el usuario, en aras de la seguridad y la calidad final percibidas por los usuarios de la próxima versión de Microsoft Windows.