En ocasiones se suele priorizar la funcionalidad por sobre la seguridad. Las herramientas automáticas no son perfectas.
– Las herramientas automáticas de revisión de código no se utilizan siempre.
– No todas las organizaciones cuentan con un equipo de testeo sólido.
– Algunas vulnerabilidades recién se conocen cuando el software es comercializado.
– Algunas vulnerabilidades se detectan a medida que surgen nuevas tecnologías.
Por todo esto, ningún software, incluso los que reciben mayor inversión en seguridad, es inmune a las vulnerabilidades. Esto también aplica a los sistemas operativos, navegadores, antivirus, etc.
Para demostrarlo, alcanza con sólo ver cada día las actualizaciones (en ocasiones se las denomina “parches de seguridad”) que van apareciendo en un celular, notebook, tablet, PC de escritorio, etc.
Sin importar su tamaño ni trayectoria, aún las empresas que desarrollan “en la nube” están alcanzadas, sólo que en este caso no nos enteramos por hacerse automáticamente.
Entonces… ¿Cuándo habría que instalar la actualización?
La respuesta corta es cuanto antes. Esto se debe a lo siguiente:
- Cuando una empresa lanza una actualización, generalmente es porque fue descubierta una vulnerabilidad.
- No siempre la vulnerabilidad es descubierta por la empresa desarrolladora. Hay
muchas personas que se dedican a detectar vulnerabilidades en el mundo. - Si esa vulnerabilidad se hace conocida, los ciberdelincuentes pueden aprovecharse de la situación para lanzar ataques antes de que un usuario instale la actualización.
- Por lo tanto, cuanto más se demore la instalación de la actualización, habrá mayor probabilidad de sufrir un ataque que podría haber sido evitado.
En ese sentido, se presentan las siguientes recomendaciones: - Configurar el sistema operativo, las aplicaciones, etc., para que las actualizaciones sean instaladas automáticamente.
- Aceptar las instalaciones no automáticas lo antes posible, aunque luego haya que reiniciar el dispositivo.
- En caso que la instalación sea compleja, hacer una copia de respaldo (backup),
preferentemente en otro dispositivo o en la nube. - Recurrir siempre a proveedores oficiales, evitando las imitaciones.
- Evitar el uso de versiones que dejan de ser soportadas por el proveedor.
- Monitorear las instalaciones, para prevenir cualquier tipo de problema (por ejemplo,los requisitos necesarios).
