Repercusión de la actualización defectuosa de Trend Micro

SeguridadVirus

Como informamos anteriormente, una actualización del patrón de firmas de Trend Micro distribuida el pasado viernes causó que sistemas que utilizan su antivirus se bloquearan por completo.

Varios días después del incidente ya se han publicado algunos datos sobre su repercusión.

Según datos estimados, ofrecidos por la propia central de Trend Micro, más de 4.500 ordenadores se bloquearon, 652 compañías se han visto afectadas por el problema, y su servicio de soporte ha recibido más de 370.000 llamadas telefónicas en relación a la actualización defectuosa.

Respecto a los detalles técnicos, el lunes Trend Micro ofreció más información, además de reconocer que cometieron un doble error. Por un lado a la hora de programar una rutina de descompresión que se incluía en la actualización, y por otro lado en la ausencia de las pertinentes pruebas de control que se deben realizar antes de su publicación, precisamente para detectar este tipo de problemas.

En relación a los sistemas afectados, la lista se amplía:

Trend Micro Scan Engine 7.500 o superior

OfficeScan versiones 5.58 hasta la 7.0 en Windows XP SP2

OfficeScan versiones 6.5 hasta la 7.0 en Windows 2003 SP1

ServerProtect parar NT 5.58 en Windows 2000 SP4

ServerProtect for NT 5.58 Normal Server on Windows 2003 SP1

Client/Server/Messaging Suite 2.0 para SMB

Client/Server Suite 2.0 para SMB

PC-cillin (VirusBuster)

PC-cillin (VirusBuster) 2002 (PCC 9) en Windows ME y Windows XP SP2

PC-cillin (VirusBuster) 2003 (PCC 10) en Windows ME y Windows XP SP2

PC-cillin Internet Security (VirusBuster) 2004 (PCC 11) en Windows ME y Windows XP SP2

PC-cillin Internet Security (VirusBuster) 2005 en Windows XP SP2

Aunque la incidencia ha sido global, ha golpeado especialmente a Japón, donde Trend Micro mantiene una mayor cuota de mercado. La compañía de ferrocarriles y metro, hospitales, y varios medios de comunicación, son algunos de los ejemplos de redes afectadas que han salido a la luz pública.

Además de las críticas que pueden leerse por Internet, tanto de profesionales corporativos como clientes particulares, y del daño global a su imagen de marca, se especula sobre la repercusión directa en las cuentas de Trend Micro. Aunque habrá que esperar para conocer el impacto real, ya se ha observado que el incidente ha acentuado la tendencia a la baja que las acciones de la compañía arrastraban desde principios de año.

Dejando un lado el caso concreto de Trend Micro, supongo que el incidente habrá hecho reflexionar al resto de casas antivirus sobre las actualizaciones de sus productos. Ya no sólo al hecho de los controles de calidad que deben pasar antes de su publicación, sino a otros riesgos que acechan a este tipo de esquemas.

Imaginemos por un momento una actualización maliciosa, colocada por un atacante que haya podido introducirse en sus servidores. En cuestión de minutos ese código malicioso sería descargado por miles y miles de sistemas. Evidentemente hay formas de mitigar este tipo de ataques, por ejemplo utilizando criptografía de llave pública. Pero, a día de hoy, ¿cuantos productos antivirus incluyen comprobación de firma digital antes de instalar las actualizaciones?

Por el lado de los clientes también cabe alguna que otra reflexión. Según publican, a la pregunta de si piensan compensar a los clientes tanto corporativos como particulares por los daños ocasionados, Trend Micro, dentro de lo previsible, ha contestado que no lo tienen planeado.

¿Hasta que punto somos dependientes de un fallo de software?, y sin embargo, ¿por qué somos tan poco exigentes?

¿Se han leído alguna vez al completo la licencia de cualquier producto de software?, algo que aceptamos automáticamente al instalarlo en nuestros sistemas. Más o menos podemos encontrar algo similar:

Se considera que acepta el Software. El Software se suministra TAL CUAL sin garantías. En la medida permitida por la ley, “X” rechaza toda posible garantía, incluyendo las concernientes a la calidad, seguridad o utilidad del software. “X” no hace representaciones o garantías en cuando a lo verídico, la exactitud o lo completo de ningún estatuto, información o material concerniente al software, En ningún caso podrá “X” ser responsable por ningún daño indirecto, punitivo, especial incidental o consecuencial.

En definitiva, firmamos un documento en blanco, aceptamos que el programa, llegado el caso, nos formatee el disco duro.

Por otro lado, no se de que me extraño, al fin y al cabo la mayoría de la gente ha aceptado como normal que de vez en cuando el sistema le de un pantallazo azul, que si algo falla la solución sea reiniciar, o que es normal que cada cierto tiempo haya que formatear el sistema para “limpiarlo”.

¿Debemos exigir más a la informática?

¿O no queda más remedio que aceptarla tal cual?

Leer la biografía del autor  Ocultar la biografía del autor