Si usas Internet Explorer, abandónalo – al menos una temporada

No, no tiene nada que ver con tenerle manía a Microsoft, ni con tener predilección por Firefox, ni por fobias o filias de ningún tipo. Es una alerta de seguridad seria, recogida ya por medios de todo el mundo, que recomienda a los usuarios de cualquier versión del Internet Explorer de Microsoft que se cambien a cualquier otro navegador (Firefox, Opera, Chrome, Safari…) al menos hasta que la vulnerabilidad pueda ser corregida. En este momento, la cuota de mercado estimada para el navegador de Microsoft esta en torno al 70%, muchos millones de usuarios con su seguridad comprometida si entran en alguna de las páginas que aprovechan el agujero para acceder a sus ordenadores. En esta ocasión, además, la vulnerabilidad no fue descubierta por la propia Microsoft ni por analistas, sino por los crackers que ahora la están utilizando. El agujero afecta a varias versiones de MSIE incluidas las más recientes, y es mucho más grave de lo que se pensaba inicialmente.

Las preguntas ahora son múltiples: cuántos usuarios no llegarán siquiera a enterarse de una vulnerabilidad reconocida como seria por la propia Microsoft, cuánto tiempo tardará la empresa en ser capaz de corregir el problema, cuántos usuarios probarán otros navegadores al hilo de esta alerta, y por supuesto, cuántos se quedarán en ellos una vez que la vulnerabilidad sea corregida. La reacción de Microsoft, por el momento, ha sido negar la mayor: afirmar que el exploit únicamente está presente en un 0.02% de las páginas de la red, que no recomiendan cambiarse tan solo por este problema, y que están trabajando en un parche que estará listo en un tiempo muy breve. Mientras tanto, la empresa recomienda poner las opciones de seguridad del navegador en alta, cambiar a un perfil de usuario que no tenga privilegios de administración, usar el modo protegido, y tener actualizado tanto Windows como todo el software de seguridad: antivirus, anti-spywares y cortafuegos. Los analistas de seguridad y muchos medios de comunicación poco sospechosos de odiar a Microsoft, como la BBC , sin embargo, ante la magnitud de la vulnerabilidad y facilidad de instalación y configuración de navegadores alternativos, recomiendan el cambio de navegador, al menos de manera temporal.

Los navegadores NO SON una religión. Son programas que usas para leer páginas en Internet, nada más. Nadie te va a excomulgar ni te va a mirar mal porque te descargues otro navegador y lo uses hasta que se arregle este problema. Tu ordenador funcionará exactamente igual, y tu experiencia de navegación será seguramente parecida: si usas favoritos, la mayoría de los navegadores toman tus favoritos de la configuración del que tengas instalado. No estás obligado a fijar el nuevo como navegador por defecto si no quieres, y tu configuración seguirá exactamente como estaba. Todos los navegadores pueden tener problemas de seguridad, esto no quiere decir que Microsoft sea malo malísimo, no estamos insultando a nadie, le puede pasar a cualquier empresa y producto.

ACTUALIZACIÓN: Confirmando la severidad del problema, Microsoft anuncia la pronta disponibilidad de un parche, rompiendo su habitual costumbre de circular actualizaciones de seguridad únicamente el segundo martes de cada mes, el ya famoso Patch Tuesday. Es muy poco habitual que Microsoft rompa su ciclo de actualizaciones. A estas horas, el parche no está aún disponible. Si usas Internet Explorer, monitoriza esa página e instálatelo en cuanto lo pongan en circulación.

ACTUALIZACIÓN: Parche ya disponible. Si tienes MSIE, instálalo.

49 comentarios

  • #001
    luigi - 16 diciembre 2008 - 21:48

    Seguramente me equivoco, pero me sorprende que un observador inteligente como Vd entre en la rueda de descalificaciones a Microsoft.
    Aunque esta entrada realmente no critica a fondo a esta empresa si he leido otras de las que se entrevee una cierta antipatía por ella.
    Recientemente he actualizado un iPod y he tenido que reinstalar iTunes, del que me desprendí al comenzar a usar el anterior, y he de decir ¡viva Microsoft!
    No me gustan muchas cosas de Microsoft, y como Vd pienso que probablemente le queda poco tiempo de vida, pero esta empresa es la responsable principal del mundo tal y como lo conocemos en la actualidad. Y en esa tarta participa muy poco Linux y ligeramente algo más Apple.

  • #002
    Cristian Orozco - 16 diciembre 2008 - 22:30

    Lo dicho por luigi es cierto, pues en muchas entradas Enrique ha hecho patente su ligera posicion y apreciacion sobre Microsoft y derivados. No obstante, ante ello muchos de nosotros, ademas de demostrar el apoyo, compartimos esa apreciacion sobre el gigante de las comunicaciones. Todos sabes que a comienzo y mediados de los 90′ el mundo le debe la casi totatlidad de los logros domesticos en computacion a Microsoft, pues fue la empresa que llevo el computador a la casa de todos nosotros.

    Pero me es lamentable decir, que al igual que una persona en el poder, si esta no es removida de su cargo, se genera en una monarquica dictadura. Ante eso, solo cabe criticar sanamente al grande para que cambie sus politicas, o simplemente deje su trono y lo ceda al mas capacitado (hasta el momento: … No es Apple… Si no Google).

    Microsoft deberia aceptar las criticas con altura de miras.

  • #003
    Enrique Dans - 16 diciembre 2008 - 22:39

    #1: ¿Poco tiempo de vida? Jamás he dicho algo así, ni lo creo, ni mucho menos lo deseo. ¿Descalificaciones? ¿Dónde ves descalificaciones? Esto no son descalificaciones, son hechos. Y si empiezo una entrada diciendo que no la escribo por ningún tipo de sesgo, sino por advertir a cuantas más personas mejor, será que no me estoy inventando nada, digo yo, aunque eres dueño de creerte lo que quieras sobre mis presuntos turbios fines y manejos. En cualquier caso, dado que no me crees, documéntate, que para eso pongo los enlaces, léete lo que dicen los periódicos de todo el mundo… que seguro que es una contubernio-campaña a escala mundial contra el pobrecito Explorer.

  • #004
    dsa - 16 diciembre 2008 - 23:07

    Hola,

    Microsoft si se ha hecho cargo de la vulnerabilidad, ya anunciada el 9 de diciembre y que mañana (esta madrugada) tendra un nuevo y obligado parche, http://www.microsoft.com/technet/security/bulletin/ms08-dec.mspx
    Aunque en otras ocasiones le doy la razon, en esta, la verdad es que si que noto cierto tono, fuera de lo habitual en este foro.

  • #005
    Belén - 16 diciembre 2008 - 23:23

    jejeje mola el tono condescendiente, Enrique. Has estado haciendo uso del sugeridor de sinónimos un rato para decirlo con delicadeza, no? Buen trabajo. Ha quedado bien. Hasta diría que incluso falta un toque de crítica muy merecida al Explorer esta vez.

    Tengo comprobados, por desgracia, dos casos de amigos usando Explorer que pillaron virus al meterse en una web donde llevo yo meses entrando con Firefox sin problemas. Si la gente viera la cantidad de páginas que me pone en rojo el WOT y la otra cosa de colores que también tengo al lado de cada link por el AVG, se lo pensaría dos veces… Y 0.02% sigue siendo un buen puñado de páginas. Dependiendo de cuales sean, pueden estar bien pillados los datos bancarios y cosas así de los afectados :S

  • #006
    Gorki - 16 diciembre 2008 - 23:27

    Como todos saben utilizo IE no he usado ni antivirus y firewere en años desde que descubrí que son unos programas molestisimos, que lo único que previenen es lo que te pasó ayer pero no lo que te pase mañana.
    Mi seguridad se basa en utilizar un Pc solo para viajar por la red y periódicamente volver cargar el SO cuando los spyweres y Malaweres de todo tipo que los tengo y padezco pues los recojo amablemente y los conservo, empiezan a ser un incordio.

    Que catástrofe pueden haceme estos nuevos, que no me pudieran hacer los antiguos, supongo que soy un zombie, que me revisan hasta en los dobladillos de la ropa y que apuntan todo lo que hago. Me es lo mismo mi forma de defensa activa y no pasiva, en vez de poner murallas como en el yudo utilizo el impulso del contrario, para hacerle caer. Si quieres información, pues taza y media, taza de informacion creada solo para vosotros y media de información creada por mi navegación, a ver como la separas..

    Tambien me mandan paginas con publicidad, cundo estoy de coña les hago pedidos con uno de mis múltiples alias, ¿Oye todos podemos dar la tabarra no?

    ¿Puedes especificar que mal hacen estos, que no hagan los otros? Pues si es más de lo mismo, pues bueno.

    Por cierto hace años que no padezco un ataque de virus, ¿A que se dedican ahora los fabricantes de virus? ¿No será a lanzar hoaxes?

  • #007
    Francisco Urdaneta - 16 diciembre 2008 - 23:28

    Otra razón adicional para cambiar de explorador, y sobre todo después de los errores que se han experimentado con la simple ejecución del programa. Esta será sin duda alguna la mejor oportunidad para FireFox pueda tener la couta de mercado más importante.

    Que estará haciendo FireFox para sacarle punta a esta situación que lo beneficia enormenente?

  • #008
    Enrique Dans - 16 diciembre 2008 - 23:34

    #5: Lo curioso es comprobar como Microsoft no tuvo ningún empacho en recomendar a los usuarios que abandonasen Safari en el último descubrimiento de vulnerabilidad, y en cambio ahora recomiendan casi que navegues con armadura y dos preservativos puestos, pero que no abandones MSIE…

    Y a pesar de eso, y de todas las precauciones que he tomado para que nadie se sienta agredido, verás como se me llena la entrada de comentarios descalificadores… eso sí, esta vez, los insultantes no llegaremos a verlos :-)

  • #009
    Anónimo - 16 diciembre 2008 - 23:55

    O visto de otro modo, ya hay más de 4 millones de páginas en la red con el exploit según afirma la propia Microsoft.
    Como aproximación por lo bajo, el 0.02% de 20.470.000.000 es 4094000.

  • #010
    Pablo - 17 diciembre 2008 - 00:00

    Cuando haya un caso similar con otra empresa…todos esperamos que le des la misma cobertura.

  • #011
    myNick - 17 diciembre 2008 - 00:07

    Es bueno dar a conocer estos huecos de seguridad. A muchas personas no le importan, pero luego se extrañan de que su computadora funcione lenta o que directamente no funcione. No se hacen problema: reinstalan todo o colocan toda la culpa en el hardware y terminan comprando una PC nueva ya que la vieja «no da para más». Muchos no se dan cuenta que lo que falla es el SO y el IE es una de esas puertas de doble hoja que permiten entrar cuanto bicho ande dando vuelta por ahí. Bien por el aviso, Enrique.

  • #012
    deleted - 17 diciembre 2008 - 00:08

    PD: Me autocorrijo. En google dicen que este verano indexaron 1,000,000,000,000 de URLs únicas de una vez, con lo que:
    0.02% de 1.000.000.000.000 = 200.000.000 = 200 millones

  • #013
    Enrique Dans - 17 diciembre 2008 - 00:12

    #10: pues si lo veo como esta vez recogido en toda la prensa mundial, seguramente lo haré. Mira, ni soy experto en seguridad ni pretendo serlo, pero la magnitud de esto no es la habitual, y no creo en las conspiraciones a escala planetaria…

  • #014
    kikemb - 17 diciembre 2008 - 00:56

    Sincera y objetivamente, no veo ni atisbo ningún tipo de descalificaciones o nada que se le parezca a este post. Yo, que hace tiempo que no uso IE, sino Firefox y Chrome (en concreto 106 días) he sufrido sin embargo los problemas de estos virus, por el simple hecho de tener que utilizar IE para utilizar la BBDD online de mi empresa. La vulnerabilidad que pueda tener cualquier navegador, debería ser corregida de inmediato. Simplemente Microsoft cuando sale en todos los periódicos y blogs, entonces realiza un apaño. o también llamado parche. Como dice #5, osea Belén, yo utilizo el AVG, y no os podéis imaginar la cantidad de porquería que entra por el IE; que sin embargo no entra ni por Firefox ni por Google Chrome.

  • #015
    fahrenheit 1C3 - 17 diciembre 2008 - 01:11

    Enrique,

    Yo que tú le habría dado muuucha más caña al explorer. No por nada, sino porque se lo merece por el hecho de ser un producto tan malo procedente de una empresa igualmente nefasta.

    Estaba pensando en elaborar una lista de personas a las que avisar de este suceso, pero, como he pasado a la mayoría de mis amigos y familiares a Mac os y a Linux, veo que me voy a ahorrar el trabajo.

  • #016
    javier - 17 diciembre 2008 - 02:33

    Off-topic: Soy uno de esos lectores anónimos que se limitan a ver, leer y callar. Hoy quiero hacer una excepción para desearos unas felices fiestas a tí y a tus encantadoras esposa e hija, así como al resto de comentaristas. Sé que es algo anticipado, pero me apetecía llegar el primero, qué leches!
    Os deseo un nuevo año pleno en todos los aspectos, con nuevos proyectos e ilusiones y lo más libre de envidias, celos y actitudes destructivas que sea posible. Contra la crisis, creatividad, colaboración, audacia y esfuerzo.

    Abrazos.

  • #017
    Javier Sampedro - 17 diciembre 2008 - 03:24

    Habrá que ser precavidos durante este tiempo y usar un navegador alternativo como comentas, o sino, extremas las precauciones con el IE si los seguimos usando. Siempre me ha ido bastante bien el IE pero ante esto, habra que protegerse. Safari, Mozilla, Chrome? una oportunidad para que otros navegadores se repartan algo mas del mercado.

  • #018
    Carlos - 17 diciembre 2008 - 09:27

    ¿Explorer? ¿Qué es eso? Vaya nombre más tonto para un navegador de Internet. Poca imaginación tiene el que se lo haya inventado.

    Fuera de bromas, he reinstalado recientemente Windows XP SP2 y SP3 en sendos ordenadores y por algún motivo, me está resultando del todo imposible instalar el Explorer 7 (el 8 beta ni catarlo, desde luego), ni siquiera hackeándolo, ni como actualización automática.

    No me preocupa en exceso, prefiero Opera y Firefox, por este orden (Chrome lo probé, y no ofrece nada que no ofrezca Opera desde hace varias versiones, o eso me pareció). El problema es que hay demasiadas webs mal hechas que solo funcionan bien con Explorer.

    De todas formas, los crackers son tontos. ¿Acaso no se han enterado de que lo peor que le puedes hacer a un ordenador con Windows es ponerle a funcionar dos antivirus a la vez? MacAfee+Trendmicro es una fórmula letal, por ejemplo. En realidad, Trendmicro por sí solo es peor que cualquier virus. Yo también me quedo con AVG.

  • #019
    Gorki - 17 diciembre 2008 - 09:37

    Pues sigo sin que nadie me informe de los riegos que corro de más, de los que corria antes. ¿Es algo tan dificil de explicar en pocas palabras, o nadie sabe exactamente cual es el riesgo?

  • #020
    JA - 17 diciembre 2008 - 09:40

    Si, vale, pero em esto de la informática todo cojea:

    Google Chrome 1.0, considerado el navegador que peor protege las contraseñas
    http://www.kriptopolis.org/google-chrome-considerado-el-peor-protector-de-passwords#comments
    ———————-
    Google es humano, demasiado humano

    http://www.kriptopolis.org/google-demasiado-humano#comments

    ———-

    Y así seguiriamos eternamente, i explorer es poco seguro, y lento, pero el navegador de google es muy inseguro y falto de herramientas, firefox va bien, pero se hace pesado. a 4 extensiones le metas, eso si muy práctico y util.

    En relacción seguridad – rapidez – utilidad me quedo con OPERA y K-MELEON.

    Salutes.

  • #021
    Jorge - 17 diciembre 2008 - 09:45

    Es curioso, resulta que el navegador tiene una cuota del 70% porque la mayoría de usuarios ni se molestan en cambiar de navegador (al fin y al cabo viene instalado con el sistema operativo, y el usuario únicamente reconoce Internet asociándola al icono de Internet Explorer) y desde Microsoft esperan que este usuario pasivo se moleste en cambiar al modo Internet Seguro.
    Increíble, pero cierto.

  • #022
    javier - 17 diciembre 2008 - 09:48

    #13

    ¿Qué argumento es ese? ¿Si no sale en muchos medios es que no tiene importancia? Si no sale en esa cantidad de medios cuando se da en otros navegadores alternativas es precisamente por ese 70% que tú mismo indicas que tiene Internet Explorer.

    Pero me parece bastante pueril que sólo si los medios «gordos» se hacen eco de una noticia sobre una vulnerabilidad lo suficientemente grave como para recomendar cambiar de navegador, la reseñes tú aquí. Porque creo yo que si mañana se da ese hecho en, por ejemplo, Firefox (ya se ha dado en anteriores, ¿te suenan los torpedos de Zaleswski?) si realmente te crees tu pretendida imparcialidad deberás dar buena cuenta de ello aquí. De Chrome, el «sistema operativo de Google», mejor no hablamos, que no sé cómo se han atrevido a quitarle la etiqueta de beta.

    Y sobre este problema de MSIE, estoy seguro de que no es necesario instalarle tropecientos antivirus. El firewall ya viene con Vista, navegar con una cuenta con privilegios en Vista, con lo fácil que es hacerlo con una normal, es merecerse la infección y las recomendaciones de antivirus y demás, son permanentes, no ligadas a esta vulnerabilidad.

  • #023
    FobiasNo - 17 diciembre 2008 - 10:04

    Enrique una vez mas muestras tu parcialidad, hablaste de la misma manera de los fallos de seguridad del chrome y de la gran cantidad que tiene firefox?, no, pero de MS si.

    Tu pagina es de seguridad? no, por que si no hablarias tambien de la seguridad de los otros navegadores/sistemas.

    Por ende tu pagina no es de seguridad pero si sacas los trapos sucios de MS, que como todo el que programa tiene fallos.

    Firefox es peor que IE en seguridad sin ninguna duda y no lo digo yo, lo dice quien ha analizado el codigo siendo contratado por la administración publica de EEUU.

    Cuando Firefox gane mas cuota se pondra mas aun en el ojo del huracan para los chicos malos y entonces ya veremos….

  • #024
    JV - 17 diciembre 2008 - 10:15

    No entiendo a los defensores a ultranza de Microsoft (igual que no entiendo a los que adoran a Apple o a Linux porque sí). Todo tiene sus pros y sus contras y las personas escogen sus herramientas conforme a sus necesidades. El problema es cuando no se les da la libertad de elegir o cuando se utilizan técnicas torticeras para imponerles algo. Es lo que ha hecho Microsoft con el IE (y es lo que pretende hacer Apple con el iPhone y con el iPod Touch).

    Lamentablemente para Microsoft, el Internet Explorer es el peor programa que han diseñado nunca. No sólo tiene múltiples agurejos y vulnerabilidades, sino que no rinde bien en ninguna comparativa. Por otro lado, ha sido punta de lanza en la política de la compañía por destruir los estándares abiertos y convertirlos en propietarios de Microsoft. ¿El resultado? El Internet Explorer no respeta los estándares w3c, no se lleva bien con el código bien escrito, corre javascript y java de forma chapucera, es lento, pesado y torpe.

    Aquí no se trata de comportarse como un hooling informático o como un fan acérrimo. Se trata de una compañía, versión tras versión de su navegador, se niega a mejorarlo, se dedica a decorarlo en lugar de repensarlo y no quiere escuchar la voz de sus propios clientes. Siempre que he hecho el experimento de cambiarle a un usuario el IE por otro navegador (porque le falla o había dejado de funcionarle o le abría bien una página), no ha vuelto a utilizar el de Microsoft. No creo que sea simplemente porque todos estamos en contra de Microsoft.

  • #025
    Marcos - 17 diciembre 2008 - 10:24

    Impresionante, Enrique.
    Avisas de esta grave vulnerabilidad, y hay gente que lo toma como un ataque contra el monopolio.
    En fin… ¿Qué les dará Micro$oft?
    Agradecerte el aviso y felicitarte por la calidad de tus post.
    Un saludo.

  • #026
    JV - 17 diciembre 2008 - 10:24

    #19 Gorki, aquí puedes ver un breve resumen sobre el fallo de seguridad. Es lo primero que he encontrado:

    http://alerta-antivirus.inteco.es/portada/index.php

    Como es lógico, nadie va a describir exactamente cual es la vulnerabilidad de IE para evitar males mayores.

    No concuerdo en absoluto con tu despreocupación hacia la seguridad. He sufrido en carne propia ataques muy destructivos y sólo puedo comentar que desde que dejé de utilizar productos de Microsoft hace cuatro años, sólo he tenido que recurrir a la copia de seguridad en una ocasión (y fue por mi manifiesta torpeza: cuidado con el comando rsync, en manos negligentes es peor que cualquier virus).

  • #027
    luarca - 17 diciembre 2008 - 10:52

    #19 Gorki. yo te lo explico…

    Vete por ahi fornicando alegremente, porque total, si pillas una sifilis o una gonorrea, ya tienes antibioticos y penicilina para curarte despues (del Sida ni hablamos eh?). Mientras, inocente de ti, hasta que no sientas los sintomas, seguiras fornicando y -contagiando- a mas gente. Nah… no passsa nahhh…

    Solo hay una forma de vencer virus, troyanos y spam (de hecho hay dos, pero por el momento colgar de los huevos a los autores aun no se contempla), y es que todos, pongamos nuestro grano, evitando su expansion.

    ¿Cada cuanto dices que formateas tu pc «de navegar»? una al mes? cada seis meses?…. Si tu ordenador se convierte en un «zombi», sabes cuantos SPAMS puedes llegar a mandar por minuto? Sabes en cuantos ataques DOS puedes colaborar? Sabes que IE es un buen candidato para todo ello?

    Anda, navega con lo que te de la gana, si quieres IE, pues IE que sobre gustos no hay color. pero navegues con lo que navegues, ponte un «molesto» antivirus aunque sea libre y no jorobes al resto de internet.

  • #028
    eva - 17 diciembre 2008 - 11:07

    «Los navegadores NO SON una religión. Son programas que usas para leer páginas en Internet, nada más. Nadie te va a excomulgar ni te va a mirar mal porque te descargues otro navegador y lo uses hasta que se arregle este problema.»

    No estoy de acuerdo. Si se me ocurre descargarme Firefox e instalarlo en el ordenador del trabajo, en el escaneo del disco duro en busca de software prohibido del 1 y 15 de cada mes me lo detectarán y me abrirán un expediente. ¿En cuántas otras multinacionales la situación es exactamente igual? Enrique: instruye un poquito a los CIOs de las empresas del Fortune 500, ¡¡haznos un favor!!

  • #029
    iBlog - 17 diciembre 2008 - 12:53

    Pues yo me quedo sin ninguna duda con Firefox. No me queda más remedio si trabajas con un Apple, pero me parece que por encima de todos, Opera anda por el buen camino. Saludos

  • #030
    Phabius - 17 diciembre 2008 - 12:59

    #13

    Ya que sólo usas IE para ver la web de tu empresa, ¿los virus te han atacado por usar la BBDD de tu empresa? Porque el artículo habla de vulnerabilidad en IE + webs emponzoñadas.

  • #031
    HectorMontenegro - 17 diciembre 2008 - 13:17

    Se puede informar correctamente, y a la vez ser tendencioso. ¿Como?
    Pues no dando TODA la información.

    Se da el caso que, precisamente esta semana, Firefox acaba de anunciar su versión 3.0.5 y 2.0.0.19 que corrige 11 vulnerabilidades, 3 de ellas críticas.

    Opera, por su parte, acaba de publicar también su versión 9.63, que corrige 7 problemas de seguridad

    Mac OS, por su parte, acaba de publicar una de sus macro-actualizaciones, que soluciona 21 fallos de seguridad de su sistema operativo, varios de ellos en relación directa con su navegador Safari.

    Pero no he visto ningún post «alarmando» frente a todas estas, y si hacia la de Explorer, que por otro lado, mañana día 17 estará resuelta.

    Visto lo visto ¿Realmente tiene sentido tu recomendación de cambiar de navegador? ¿Es la seguridad de los usuarios lo que se tiene en mente cuando se hace esa recomendación, o es otra cosa?

    No es bueno el promover medidas erroneas que además no se dirigen tanto a combatir el problema, sino a aprovechar cualquier circunstancia de un competidor para ganar cuota de mercado.

    Y tampoco veo donde Microsoft ha «negado la mayor», cuando precisamente se ha sacado una alerta fuera de ciclo (eso solo se hace en situaciones de alerta importantes) para resolver inmediatamente el problema.

  • #032
    Enrique Dans - 17 diciembre 2008 - 13:28

    #31: Héctor, como siempre un gusto verte por aquí con buenos argumentos. Te cuento como lo veo: todo programa tiene vulnerabilidades, de acuerdo. Pero cuando un programa lo usa un 70% del mercado, la vulnerabilidad es explotable de manera sencilla como esta, y los medios de información de todas partes reaccionan como han reaccionado, me parece adecuado recogerlo. Yo soy en ese sentido una página más recomendando a sus usuarios que usen otro navegador mientras esto no esté arreglado, no formo parte de ninguna conspiración orquestada a escala mundial, como tampoco lo son la BBC, PCWorld, el Washington Post o el NYT. Donde digo que Microsoft niega la mayor es donde dice que no es necesario cambiar de navegador, más después de haberlo hecho en el caso contrario. Mi opinión es que con lo poco que cuesta instalar un navegador, lo que hay que hacer es tener varios, y dejar de usar los que estén bajo una alerta de seguridad importante, hasta que se solucione. En ningún momento digo que Microsoft sea mala malísima o peor que otras porque tiene vulnerabilidades, sé que todo programa las tiene. Lo que digo es que estás más seguro estos días si en lugar de navegar con MSIE lo haces con otro, y consecuentemente lo recomiendo. Eso es todo.

  • #033
    Luis Miguel Garcia - 17 diciembre 2008 - 14:28

    Enrique,

    Al hilo de tus comentarios me gustaría añadir algo desde la perspectiva de Microsoft:
    • Microsoft ha dado los pasos adecuados a raíz de esta alerta. Inicialmente anunció la manera de proteger los navegadores y ayer hemos anunciado una actualización disponible hoy a última hora a través de Windows Update.
    • El hecho de que sea una actualización fuera del ritmo mensual habitual no indica más que el firme compromiso para contribuir a la seguridad de todos.

    Por último quería destacar nuestro dedicación para mejorar continuamente al igual que el resto de la industria en materia de seguridad y privacidad. Estos días hemos presenciado como navegadores y sistemas operativos de otras compañías ofrecían actualizaciones de seguridad críticas de todo tipo: por ejemplo Firefox (http://secunia.com/advisories/33203/ ) o el mismísimo MacOSx (http://www.apple.com/downloads/macosx/apple/security_updates/ ). Por lo tanto se trata de una práctica habitual que afecta a todos los protagonistas de la industria del software.

    Luis Miguel García
    Director de Seguridad y Privacidad de Microsoft Ibérica

  • #034
    Albert - 17 diciembre 2008 - 15:28

    Enrique, si tienes tiempo me gustaría que llevaras a cabo un breve ejercicio y nos pasaras los resultados. En tanto que tienes un blog con miles de visitas diarias y por tanto los resultados pueden ser algo relevantes, ¿podríamos ver cuál es el porcentaje de navegadores usados por tus visitantes entre el 1 y el 15 de diciembre y compararlo con el porcentaje desde ayer hasta hoy? Simplemente por ver si las recomendaciones han surgido algún efecto o si la gente lee, asiente y sigue con lo suyo.

  • #035
    Albert - 17 diciembre 2008 - 15:32

    En mi propio blog, por cierto, y aunque las cifras son mucho menos representativas por ser el número de visitas bajo, los datos son estos:

    1-15 diciembre: IExplorer 54%, Firefox 39%, Opera 3%, Chrome 2%, Safari 1%.

    16-17 diciembre: IExplorer 49%, Firefox 42%, Opera 4%, Chrome 2%, Safari 2%.

  • #036
    JP - 17 diciembre 2008 - 17:21

    @Phabius
    ¿Los de tu empresa republican las noticias de Enrique Dans en su página?
    Mira lo que se viene a enterar uno.

  • #037
    Belén - 17 diciembre 2008 - 17:37

    Gorki, tú probablemente no tengas un gran problema en quedarte sin ordenador cada x tiempo porque tienes que ponerlo en cuarentena. Pero tener un sistema lleno de virus que puede explotar en cualquier momento, dejándotelo totalmente inútil (v.g, el virus que reiniciaba al XP a los 30 segundos de arrancarlo) no es algo que mucha gente se pueda permitir. Ya no sólo por tener que hacer backups cada poco tiempo, sino porque imagina a quien se tiene que ir a trabajar con el portátil a donde sea y de repente no funciona. Pierde los datos y también pierde su herramienta de trabajo

    Cuando no tienes nada urgente que hacer, puedes decidir hacer limpieza dedicando toda la tarde en acabar con el virus, formatear, reinstalar el Windows, reinstalar todos los programas que uses, configurar todo etc. Pero cuando no puedes arriesgarte a que te ocurra, a lo mejor prefieres usar medidas preventivas en lugar de eso. Se puede convivir con virus y troyanos sin darse cuenta, claro que sí, perfectamente. Los daños pueden ser de cualquier tipo, desde pérdidas de información sensible hasta que te vaya lentísimo todo. Es una cuestión personal aguantar eso contra la simpleza de usar otro navegador. (Yo no hablo de usar otro SO, que ya es un paso bastante mayor.)

    Yo no he tenido virus en muchos años e incluso he usado el XP sin antivirus buena parte de ellos, sin problemas. No es que Microsoft sólo haga productos vulnerables, ni nada de eso. Simplemente, es más probable que una persona que usa el Explorer no se dé cuenta de que tiene un virus o no sepa cómo eliminarlo, que una que usa Ópera, estadísticamente. Lo que me ha dicho una a la que le he recomendado probar Chrome porque sabe que se conecta a un Wifi muy poco segura (ya tuvieron un asuntillo con alguien que cogió todas las conversaciones del messenger de su colegio mayor) es: «¿de Google? Pero si yo ya tengo Google instalado en mi ordenador. Aparece cada vez que abro Internet» Es decir, piensa que tiene instalado el buscador, no entiende el concepto navegador y piensa que Internet es el Explorer. (Es una persona con dos licenciaturas y varios idiomas, no es ninguna tonta en el Mundo Real, conste). ¿Se entiende la diferencia entre avisar por medios masivos del problema en el IE y la no necesidad de hacerlo a tan gran escala sino en medios más especializados cuando hay un problema similar en otros navegadores?

  • #038
    DNi - 17 diciembre 2008 - 17:51

    Y mientras tanto, yo aquí feliz, con mi sistema Ubuntu y mi navegador firefox.

  • #039
    Enrique Castro - 17 diciembre 2008 - 18:04

    Hola Tocayo:

    estando de acuerdo contigo, te hago la siguiente pregunta.

    ¿Y los/as que por obligación lo tengan que usar…qué?

    :-D

  • #040
    Anónimo - 17 diciembre 2008 - 18:08

    Estaria bien Enrique, que pusieras en enlace CONCRETO (No un enlace a otro blog) de la pagina de MS donde «Recomienda a los usuarios que abandonen Safari en el último descubrimiento de vulnerabilidad».

    Gracias, un saludo.

  • #041
    Fran - 17 diciembre 2008 - 18:40

    31, 32 y 33 me parecen post sumamente reveladores y que transcienden incluso el tema del post: habláis de la estructura de la industria y del funcionamiento del mercado, de que son productos en los que los fallos críticos de seguridad son habituales, del compromiso con la seguridad (que es tan común en Microsoft como en otras empresas, pues todas acaban ofreciendo soluciones) de las empresas… y en último término, de los hábitos de los consumidores.

    O sea, de que los consumidores de navegadores y sus servicios debemos concienciarnos de que estamos en un marco empresarial, un tipo de producto, una calidad del servicio… habitual en ‘errores críticos de seguridad’. Ahora, yo pregunto: ¿que deberíamos hacer los clientes ante un hecho tan alarmante?, porque, ¿a caso no es preocupante que todo un mercado reconozca errores estructurales comunes en sus productos?

    Quizás lo que falta en estos casos es lo que tanta falta hace, también, en otros mercados: el respeto por el consumidor, ofrecer información y dar datos de forma transparente, reconocer errores sin ambages… Manteniendo, al fin y al cabo, una relación más estable con un cliente que lo que necesita en internet (donde no sólo se expresa, sino que crea una identidad, ofrece datos, compra mercancías o servicios…) es el respeto y la confianza de las compañías.

    En vez de tanta publicidad de Vista, o «download day», o «fuera versión ‘beta’ a los 100 días»… el anuncio que más credibilidad puede dar a una empresa dedicada a esto, tal como están yendo las cosas, y con la que está cayendo, es: «si, no somos perfectos, lo sabemos, pero intentamos ofrecerte la mejor calidad y el mejor servicio». Porque Google ofrece «calidad comparativa» pero, al fin y al cabo, tiene sus problemas como cualquier otra compañía. ¿Porqué no intentar innovar y romper las reglas de lo sibilino o de la pobreza comparativa ofreciendo, simplemente, honestidad y claridad?

    El blog de Enrique me encanta porque, ante todo, es honesto y claro: dice lo que piensa y deja claro porqué lo piensa. Podrás estar de acuerdo o no, en todo, en poco o en nada. Pero, más importante que poder tener una opinión o un debate, es saber los qués, cómos y porqués. Ojala Microsoft, o cualquier otra empresa, fuese lo suficientemente revolucionaria como para atreverse a utilizar la honestidad en lugar de la publicidad.

    Estoy seguro, los consumidores seríamos lo suficientemente inteligentes para reconocer la novedad y la verdad, y para responder como tal actitud merece. ¿Alguién más se apunta?

  • #042
    HectorMontenegro - 17 diciembre 2008 - 19:11

    Gracias Enrique. Sin que esto parezca una «ofensiva» de Microsoft sobre tu blog, ;-), que no es la intención, si añadiría algo. Tener varios navegadores pues si es una buena práctica. Yo tengo tres, aunque en el 95% de los casos utilizo uno. Pero ten en cuenta que realmente la mayor «culpa» por así decirlo de Explorer, siguiendo tu argumento, sería la de tener una enorme cuota de mercado. Obviamente, cuando eso es así, la extensión de una incidencia es mayor. Pero nada mas.
    Haciendo un simil «automovilístico» diría que es como si ante el dato de que hay mas accidentes de coches que de carretillas, recomendáramos encarecidamente el uso de la carretilla como medio de transporte (y ojo que la comparación no pretende ir en relación a la calidad, – aunque me tienta ;-)- sino en relación al número).

    Microsoft ha tenido que aprender mucho en materia de seguridad, y aprender desde donde mas se aprende: desde la necesidad absoluta. Los años 2001-2002 supusieron un punto de inflexión necesario. Las experiencias de Blaster, Slammer, CodeREd etc motivaron que al Sr. Gates se le inflaran las … narices y estableciera que desde ese momento, de Microsoft no salía una máldita línea de código que no hubiera pasado por un fuerte proceso de auditoría de desarrollo seguro. Y creeme que el «afable» Sr. Gates sabe imponerse. Esa historia se llamó TrustWorthy computing

    Han pasado 6 años ya desde esa «tormenta» interna que cambió para siempre el dsarrollo de código desde Microsoft…y ¿Han desaparecido todos los problemas de seguridad? No. ¿Se han minimizado? Sin duda. Se ha minimizado la posibilidad de «explotación». Totalmente. Hasta el punto que en este momento algunos consideran a Microsoft (y no son palabras mias sino de Gartner “We actually consider Microsoft to be leading the software [industry] now in … security development life cycle [SDL]” – John Pescatore, VP of Gartner… o algunos mas entusiastas que hablan de Microsoft como de «sumos sacerdotes de la seguridad»: http://news.cnet.com/8301-1009_3-10042248-83.html

    La última reunión de Common Criteria (estandar ISO de seguridad de producto) en Korea, hubo una tremenda influencia sobre la consideración de las buenas prácticas de Microsoft (Software Development Lifecycle) como línea a seguir en la evolución de la proxima release de Common Criteria.

    ¿Que significa esto’ Pues que mientras en medios profesionales de seguridad se pone como ejemplo a Microsoft por la seriedad y eficacia en su aproximación a la seguridad, la inercia o interés de seguir posicionando a Microsoft como «el problema» en materia de seguridad, dejó de tener base hace mucho tiempo.

    Existe un gran interés en mantener esa percepción, como parte de la estrategia competitiva de muchos. Supongo que durante algún tiempo habrá que seguir viviendo con ello.

    En fin. Siento la longitud del comentario. Si es que me animo … ;-)

  • #043
    Emilio CS - 17 diciembre 2008 - 20:48

    Gracias por la información y aprovecho para felicitarte y darte ánimos (si es que los necesitas), pues veo que tienes grandes admiradores que siguen con avidez tus reflexiones y están esperando la carnaza para desmenuzarla y encontrar en ella material sobre el que difamarte. Un cordial saludo!

  • #044
    mar69 - 17 diciembre 2008 - 23:54

    Otras empresas por cosas como estas estarían en los tribunales.

    Sigo sin entender la falta de calidad de los productos de Microsoft. Si Windows es el sistema operativo menos seguro de los existentes en el mercado, ¿Cómo no va a serlo su navegador integrado en el mismo?

    Solo espero que el mercado sepa ajustar errores tan garrafales como este, que OJO, esto ocurre mes tras mes….

  • #045
    fobiasno - 18 diciembre 2008 - 08:57

    Es curioso como se puede ver que aunque el sistema tenga sus problemas lo que mas afecta a la seguridad de un sistema windows son las aplicaciones que instalamos sobre el.

    http://www.bit9.com/files/Vulnerable_Apps_DEC_08.pdf

  • #046
    Oriol D. - 18 diciembre 2008 - 11:09

    Leo en Bitelia que la consultora Bit9 ha declarado que Firefox es la aplicación mas vulnerable para windows.

  • #047
    Enrique Dans - 18 diciembre 2008 - 12:04

    #45, #46: Ese es el reporte más desprestigiado de la empresa menos conocida y con más necesidad de notoriedad de los últimos tiempos. Es metodológicamente insostenible, y simplemente, miente más que habla. Es facilísimo encontrar comentarios que demuestran la falsedad del susodicho estudio, aquí tienes uno:
    http://www.theregister.co.uk/2008/12/12/app_threat_list/

  • #048
    Felipe Alfaro Solana - 20 diciembre 2008 - 04:21

    A #6: ¿de verdad crees que ese 70% de usuarios van a tener un PC dedicado para navegar exclusivamente? ¿Y que lo van a reinstalar cada cierto tiempo? Pensé que la tecnología podía ofrecer soluciones mejores y más eficientes. Bueno, realmente lo hace: se llama GNU/Linux y Firefox, por ejemplo.

  • #049
    Jorge - 22 diciembre 2008 - 01:30

    Bien dicho #24.
    Sobre los estándares de la w3c, pregúntenle a cualquier diseñador web cuantas horas extras tiene que gastar para que una página se vea bien cualquier explorador Y en IE.

Dejar un Comentario

Los comentarios están cerrados

5 comentarios en Menéame

#001
Malahostia - 16 diciembre 2008 - 21:56
#002
jm22381 - 16 diciembre 2008 - 21:56
#003
kraziel - 16 diciembre 2008 - 21:56

recogida ya por medios de todo el mundo → incluyendo meneame» autor: kraziel

#004
ffuentes - 16 diciembre 2008 - 21:57

Me carga que todo lo que Enrique Dans diga, aparezca en Menéame.

Por lo demás, si le instalas a alguien Firefox y lo prueba le va a gustar, casi casi siempre pasa así, pero no porque lo diga un Sr. Influyente.» autor: ffuentes

#005
josemaria - 17 diciembre 2008 - 10:13

Que algo con una semana de retraso venga a parar aquí sólo porque lo ha escrito ÉL tiene miga… Luego hablará de palmeros. ¡Ay!

Por cierto: el primer aviso de todos lo mandé yo y no se le hizo mucho caso, la verdad

meneame.net/story/0-day-para-internet-explorer-7» autor: josemaria