VULNERABILIDAD DEL SOFTWARE

VULNERABILIDAD DEL SOFTWARE

Los errores de software representan una constante amenaza para los sistemas de información,

ya que provocan pérdidas incontables en cuanto a la productividad. La complejidad

y el tamaño cada vez mayores de los programas, aunados a las exigencias de una

entrega oportuna en los mercados, han contribuido al incremento en las fallas o vulnerabilidades

del software. Por ejemplo, un error de software relacionado con una base de

datos evitó que millones de clientes minoristas y de pequeñas empresas de JP Morgan

Chase accedieran a sus cuentas bancarias en línea durante dos días en septiembre de

2010 (Dash, 2010).

Un problema importante con el software es la presencia de bugs ocultos, o defectos

de código del programa. Los estudios han demostrado que es casi imposible eliminar

todos los bugs de programas grandes. La principal fuente de los bugs es la complejidad

del código de toma de decisiones. Un programa relativamente pequeño de

varios cientos de líneas contiene decenas de decisiones que conducen a cientos, o

hasta miles de rutas. Los programas importantes dentro de la mayoría de las corporaciones

son por lo general mucho más grandes, y contienen decenas de miles, o

incluso millones de líneas de código, cada una multiplica las opciones y rutas de los

programas más pequeños.

No se pueden obtener cero defectos en programas extensos. En sí, no es posible completar

el proceso de prueba. Para probar por completo los programas que contienen

miles de opciones y millones de rutas, se requerirían miles de años. Incluso con una

prueba rigurosa, no sabríamos con seguridad si una pieza de software es confiable sino

hasta que el producto lo demostrara por sí mismo después de utilizarlo para realizar

muchas operaciones.

Las fallas en el software comercial no sólo impiden el desempeño, sino que también

crean vulnerabilidades de seguridad que abren las redes a los intrusos. Cada año las firmas

de seguridad identifican miles de vulnerabilidades en el software de Internet y PC.

Por ejemplo, en 2009 Symantec identificó 384 vulnerabilidades de los navegadores: 169

en Firefox, 94 en Safari, 45 en Internet Explorer, 41 en Chrome y 25 en Opera. Algunas

de estas vulnerabilidades eran críticas (Symantec, 2010).

Para corregir las fallas en el software una vez identificadas, el distribuidor del software

crea pequeñas piezas de software llamadas parches para reparar las fallas sin

perturbar la operación apropiada del software. Un ejemplo es el Service Pack 2 de Microsoft

Windows Vista, liberado en abril de 2009, que incluye algunas mejoras de seguridad

para contraatacar malware y hackers. Es responsabilidad de los usuarios del

software rastrear estas vulnerabilidades, probar y aplicar todos los parches. A este proceso

se le conoce como administración de parches.

Ya que, por lo general, la infraestructura de TI de una compañía está repleta de varias

aplicaciones de negocios, instalaciones de sistemas operativos y otros servicios de sistemas,

a menudo el proceso de mantener los parches en todos los dispositivos y servicios

que utiliza una compañía consume mucho tiempo y es costoso. El malware se crea con

tanta rapidez que las compañías tienen muy poco tiempo para responder entre el

momento en que se anuncian una vulnerabilidad y un parche, y el momento en que

aparece el software malicioso para explotar la vulnerabilidad.

La necesidad de responder con tanta rapidez al torrente de vulnerabilidades de seguridad

crea inclusive defectos en el software destinado a combatirlas, hasta en los productos

antivirus populares. Lo que ocurrió en

...