Microsoft es una de las compañías que más ataques recibe en cuanto a explotación de vulnerabilidades de sus productos, y que van desde el sistema operativo hasta componentes de terceros y aplicaciones del cliente. De hecho, tal y como señala el último boletín de seguridad, que lanzan todos los segundos martes de mes, la compañía ha descubierto 17 vulnerabilidades para las que ha lanzado 11 actualizaciones.
De los 7.000 millones de dólares que Microsoft invierte en I+D, una buena parte se dedica a la investigación en seguridad, cuyos pilares son seguridad, privacidad, fiabilidad y prácticas empresariales. Una inversión, que como ha comentado Adrianne Hall, directora senior de la división Trustworthy Computing de Microsoft, “ahora se dirige especialmente a la plataforma de aplicaciones reforzando nuestras relaciones con otras compañías del sector para reforzar la seguridad de nuestros productos de servidor y de consumo”.
Y es que Internet, además de cambiar la forma en que la gente trabaja y se comunica, se ha convertido también en un gran medio para el cibercrimen, que ha evolucionado desde los actos vandálicos en 1997 hasta los ataques dirigidos de hoy en día cuyo objetivo es extraer información por un motivo económico. En Estados Unidos, el FBI, por ejemplo, ha calculado para el año pasado unas pérdidas de 67.200 millones de dólares.
Teniendo en cuenta que la información está en el punto de mira de los atacantes, convirtiéndose incluso en moneda de cambio –en este punto el Centro de Respuesta de Seguridad de Microsoft ha identificado tres mercados donde se trafica con información de individuos, empresas y de vulnerabilidades-, Microsoft ha elaborado una completa política de privacidad, cuyos fundamentos son “conseguir una mínima intrusión con filtros anti-spam o bloqueadores de pop-ups, controlar la información mediante, por ejemplo, controladores de cookies capacitados para P3P, y proteger del posible daño con filtros anti-phising o productos como Windows Defender”, ha explicado Brendon Lynch, director de estrategia de privacidad de Trustworthy Computing Group.
Asimismo, Microsoft aplica toda una política de privacidad durante el desarrollo de sus productos comenzando desde la fase de diseño, pasando por la implementación y verificación hasta el lanzamiento público. Todo ello complementado además con una serie de auditorías independientes, que ofrecen una prueba adicional de que “nuestros estándares se cumplen”, añade Lynch. Igualmente, desde 2006 aplica la práctica del ciclo de vida del desarrollo de la seguridad desde la concepción del producto hasta su lanzamiento incluyendo una guía de educación.
Y es que los aspectos de seguridad son algo muy importante para Microsoft que ha llegado incluso a provocar el retraso de grandes lanzamientos como Windows Vista o Windows Server 2008. En general, la política de Microsoft incluye un amplio proceso para el desarrollo de la seguridad, para el lanzamiento de actualizaciones de seguridad y toda una estrategia de evaluación de los productos de la compañía. Para ello, en el campus de Redmond, tiene un equipo de 40 investigadores a tiempo total y 350 a tiempo parcial para analizar la causa de sus vulnerabilidades, y elaborar guías de formación, herramientas y técnicas para eliminar dichos agujeros de seguridad. “Microsoft está haciendo grandes inversiones para mejorar la seguridad de sus sistemas operativos y aplicaciones centrándose muy mucho en la Web ante la actual naturaleza de los ataques como los botnets y los ataques dirigidos”, ha destacado George Stathakopolous, SEC.
Por tanto, ya q ue el dinero es lo que está moviendo el mercado de las vulnerabilidades, “continuaremos construyendo y reforzando nuestra estrategia de alianzas con gobiernos, universidades y otras empresas del sector para aumentar la seguridad de nuestros productos e incrementar la velocidad de respuesta; cambiaremos las reglas del juego influenciando a los influenciadotes; observaremos y comprenderemos el modelo de negocio de las vulnerabilidades animando a la evolución del próximo paso a dar; y facilitaremos a los investigadores de seguridad el acceso a programas, herramientas y oportunidades que les proporcionen una perspectiva legítima de sus habilidades”, ha declarado, por último, Sarah Blankinship, estratega senior de seguridad del equipo de Ingeniería y Comunicaciones de Seguridad de Microsoft.