top of page

Sobre las actualizaciones y el terror que llevan consigo

Zharet Bautista Montes
En el siguiente artículo de Cyte, se describe la razón de ser de las actualizaciones, por qué generan tanta resistencia entre los usuarios del común y cómo se pueden manejar para garantizar una experiencia que no resulte traumática, al menos por ahora …

Donde quiera que haya tecnología, hay posibilidad de que algo se dañe o salga defectuoso, o por el contrario, también hay posibilidad de crear algo mejor, y en ambos escenarios, las actualizaciones tienen lugar, por lo que son tan ubicuas como la tecnología misma: ya sea en el computador, celular, tablet o dispositivo IoT del que sea, cada cierto tiempo hay que actualizar el sistema operativo, las aplicaciones, los controladores y todo lo que esté ahí dentro construido con unos y ceros; el hardware tampoco se salva, porque luego de un rato o bien hay que cambiar una parte averiada u obsoleta, o bien directamente hay que reemplazarlo por algo más útil.


La información de nosotros mismos en las páginas web, redes sociales, repositorios y registros de diversas entidades, así ya no tengamos que cargarla en todo momento en el bolsillo, también se debe actualizar para que corresponda con la realidad; y si no tenemos el cuidado de actualizar nuestros indicadores de salud con chequeos médicos periódicos, nos podemos estar yendo a la tumba sin darnos cuenta.


Entonces, si están tan presentes en nuestra vida cotidiana, ¿por qué muchas veces hablar de actualizaciones resulta tan emocionante como hablar de impuestos?


Actualizar o no actualizar, he ahí la cuestión


En vez de espantarnos con este aparente fantasma, es más sensato tratar de ver las actualizaciones como lo que son: una fase fundamental en el ciclo de vida del software y un aspecto imprescindible en cualquier servicio de soporte, ya que es lo que permite a la tecnología adaptarse para seguirle el paso a todos los cambios que se manifiestan en su contexto, y de esta forma, mantenerse funcional y operable.


Desde luego, cada experiencia está sujeta a lo que se esté actualizando y las condiciones en que se esté dando; sin embargo, todas las actualizaciones en general cumplen con tres funciones principales.


Por una parte, las actualizaciones permiten corregir errores en el funcionamiento o el aspecto de un software determinado, esos que son imposibles de ignorar por dejarnos una experiencia poco agradable y que, si no se atienden como es debido, pueden llevarnos a abandonarlo y disuadir su uso; ésta es quizás una de las funciones más notorias.


A partir de las reseñas, los sistemas de calificación y los canales de soporte, los desarrolladores pueden saber qué se considera desacertado por los usuarios en su programa y ajustarlo para solventar dichos malestares.


Por otro lado, con las actualizaciones además se incluyen parches de seguridad en el software para mitigar posibles vulnerabilidades, esos fallos de configuración y diseño que suelen pasar desapercibidos hasta que son explotados por una amenaza; siempre que se alerta de un exploit de gran alcance como Heartbleed, Eternal Blue o el propio Log4Shell, los parches de seguridad han resultado indispensables para contenerlos, esto es, proteger a quienes ya los tenían y evitar que aparecieran para quienes aún no.


Si a eso le sumamos que desde nuestros dispositivos realizamos trabajo remoto para nuestros colegas, o que a veces compartimos información con nuestros seres queridos, entonces al actualizar estaremos de paso previniendo que ellos también resulten potencialmente afectados [1].


Finalmente, a través de las actualizaciones es posible incluir funciones y opciones adicionales en un programa que ya funciona bien al principio: por ejemplo, si se tuviera un traductor que en un inicio sólo manejaba inglés y español, a partir de una actualización se puede lograr que ahora también pueda traducir en alemán, francés o italiano.


Aquí mismo en Cyte, nuestro equipo de ingenieros se dedica a atender cuidadosamente las observaciones de nuestros clientes para identificar, investigar, desarrollar y probar ajustes y mejoras en nuestras soluciones para que estén más adaptadas a sus necesidades, y sí, esto lo logramos por medio de las actualizaciones sobre estas herramientas.


Como dato adicional, las actualizaciones pueden, en algunos casos, convertirse en requisitos para el cumplimiento de obligaciones legales (por ejemplo, cuando son solicitadas luego de la auditoría de una empresa) o contractuales con respecto a un elemento de TI:


“En el caso específico de las licencias de Microsoft, mantener el software actualizado es esencial para cumplir con los términos del acuerdo de licencia” [2].

Historias de terror protagonizadas por actualizaciones


Con todo lo bonito que se ha mencionado previamente, podríamos llegar a percibir las actualizaciones como un santo grial y en un principio exigir que todo esté actualizado hasta la última versión existente (frase que se enuncia sin falta en cada capacitación a empleados o video de introducción a la ciberseguridad), y eso tal vez funcionaría en un mundo ideal donde todo sale según lo esperado; empero, evidentemente NO estamos en un mundo ideal, sino en uno regido por seres humanos imperfectos, cuyas creaciones son igualmente imperfectas y obedecen a la famosa Ley de Murphy (“Todo lo que pueda salir mal, va a salir mal”).


La realidad es que esta renuencia generalizada hacia las actualizaciones no es de gratis, sino que viene fundamentada en una serie de escenarios que han revelado todo el daño que una actualización desafortunada es capaz de ocasionar:


  1. Primero, vamos con uno de los más clásicos: al instalar una actualización, por temas de compatibilidad, resulta que algo en el dispositivo se termina “rompiendo” y deja de funcionar o se comporta de forma muy extraña. Bajo este argumento, usuarios como los de teléfonos Android [3] optan por desatender las actualizaciones, porque para tener que lidiar con ese rollo, mejor conservar el dispositivo como está, pues sigue funcionando se actualice o no.


    Aquí hay un tema complejo de versiones entre las millones de aplicaciones que pueden coexistir, y la verdad es que sería honorífico que alguien se dignara a poner orden.


  1. También está un viejo conocido que incluso ha dado origen a memes, especialmente con respecto a Windows: que una actualización aparezca en el peor momento posible, proceder con su instalación sin preguntarle al usuario, y encima, ejecutar el reinicio del equipo, impidiendo continuar con el trabajo tan importante que se estaba realizando [4].


    Ahora bien, con frecuencia un reinicio es necesario para garantizar que la actualización se termine de implementar correctamente, pero cuando en lugar de unos cuantos minutos este toma horas o hasta días enteros es otra historia; en fin, parece que Microsoft finalmente ha decidido tomar cartas en el asunto para, por lo menos, reducir el número de reinicios [5].


  2. Luego, tenemos un escenario bastante más perturbador: cuando el sistema para descargar e instalar las actualizaciones se utiliza para la entrada de software malicioso.


    Uno de los casos de este género más sonados gira en torno al grupo Evasive Panda, que desde 2012 se ha dedicado a secuestrar canales de actualización de software legítimos donde, a través de ellos, pudieron distribuir malware con el que llevaron a cabo su campaña de ciberespionaje [6], comprometiendo a usuarios de Hong Kong, Macao, Taiwan, el Tíbet, varios países asiáticos cercanos e inclusive Nigeria.


    Esto lo que puede causar sistemas de actualización sin un esquema de seguridad lo suficientemente robusto, aunque también está implicada la falta de garantías en un Estado autoritario y con gran influencia.


  1. Por último, llegando ya a lo más escalofriante registrado hasta la fecha, podemos mirar lo que pasó el fatídico 19 de julio de este año: cualquiera que haya leído o visto noticias se habrá enterado del incidente de Crowdstrike que causó el colapso de sistemas Windows a nivel global, y para este punto ya todo se ha dicho sobre qué lo originó, en qué forma se manifestaba y cómo se debía arreglar.


    En pocas palabras, Crowdstrike liberó en la nocheanterior una actualización defectuosa, cuyo propósito era precisamente evitar el bloqueo del sistema (ironía en su máxima expresión) y que al aplicarse borraba un archivo crucial para el funcionamiento del sistema, de modo que se instaló automáticamente en equipos empresariales Windows, de modo que a la mañana siguiente se presentó en todas partes una serie de reinicios inesperados, seguidos por la infame Pantalla Azul de la Muerte, dejando fuera de servicio a aeropuertos, sistemas bancarios y proveedores de salud, entre muchos otros.


    Lo más inquietante del asunto es que Crowdstrike no fue el primero y tampoco será el último en experimentar un caos de este tipo [7] (aunque hasta ahora nadie lo iguala en magnitud).



Microsoft
La pantalla azul de la muerte de Windows (Blue Screen of Death, BSOD por sus siglas en inglés), que hace presencia siempre ante cualquier crítico en el equipo, le ha quitado el sueño a muchas más personas que las películas de Freddy Krueger.

Al fin termina el suspenso y aparece la luz en medio de la oscuridad…


Entonces, nos encontramos frente a uno de los tantos dilemas que surgen en la vida: si actualizo, existe la posibilidad de que el dispositivo se congele por reiniciar o algo en él se desconfigure y termine inutilizable, pero si no actualizo, quedo más expuesto a las más recientes vulnerabilidades y el software se me queda obsoleto, perdiendo las nuevas funcionalidades que podría tener a futuro, ¿qué hacer ahí?


Una receta mágica definitivamente no existe, pero sí se pueden contemplar una serie de medidas para gestionar este tema con maestría y, como en muchos otros aspectos de tecnología, requiere del trabajo conjunto entre distribuidor y usuario/cliente.


En el caso de los distribuidores, se dan las siguientes recomendaciones, dirigidas inicialmente a Windows pero igualmente válidas para cualquier otro software [8]:


  • Configurar las actualizaciones para que sean independientes entre sí: con esto, las aplicaciones pueden actualizarse sin estar sujetas al sistema operativo.


  • Garantizar que sus canales de actualizaciones cumplan con todos los requisitos de seguridad (por ejemplo, que no acepten protocolos inseguros como HTTP para la transferencia de datos) para evitar que sirvan como entrada de malware.


  • Optar por actualizaciones de menor tamaño, lo que contribuye a que no tomen demasiado tiempo en completarse y ocasionen reducidos cambios en el sistema (y con ello, menor probabilidad de fallos).


  • Siempre que sea posible, establecer ciertas actualizaciones como opcionales, sobre todo aquellas de cuidado como las de controladores, esto para darle al usuario un margen de maniobra en el que su dispositivo pueda seguir funcionando dado el caso de que éstas vengan con alguna sorpresa.


  • Ofrecer siempre opciones para instalar las actualizaciones de forma manual, en el momento que mejor le funcione al usuario, y desinstalar las que salgan defectuosas, sobre todo en sistemas que soportan infraestructuras críticas: con esto, se evitan episodios como el de Crowdstrike.


  • Llevar a cabo todas las pruebas necesarias y posibles para diversos contextos, con el propósito de aumentar al máximo la probabilidad de detectar errores y corregirlos antes de que la actualización salga al público.


Esto último es quizá lo más desafiante, pues si bien los principales distribuidores hacen su mejor esfuerzo, las pruebas sólo son posibles hasta cierto punto debido a que las actualizaciones deben tratar de liberarse con la misma velocidad en que aparecen las vulnerabilidades para seguirles el paso [10], por lo que siempre existe un riesgo latente.


En contraparte, se trate de un individuo o una organización, el usuario puede hacer uso de las siguientes prácticas para protegerse por su lado:


  • Asegurarse de descargar las actualizaciones únicamente desde canales confiables y verificados como las páginas oficiales de cada aplicación, Windows Update, Actualización de Software de Linux, etc.


  • Para actualizaciones de características o drivers, esperar sólo un poco e investigar sobre ellas para averiguar si se han relacionado con problemas de desempeño o compatibilidad, según los comentarios de otros usuarios.


  • Realizar y conservar copias de respaldo del sistema operativo, aplicaciones, archivos de configuración y otros, para recuperar el equipo en caso de un error de importante magnitud por culpa de una actualización.


  • Determinar si para su contexto resultan mejor actualizaciones manuales, que le otorguen mayor control del software, o actualizaciones automáticas, que le faciliten el mantenimiento en este ámbito.


  • Si tiene la posibilidad, realizar también pruebas por su lado (por ejemplo, en un entorno de desarrollo o QA) e informar a su distribuidor si detecta algún error, para que pueda arreglarlo con la mayor celeridad del caso.


Pensamientos finales


Las actualizaciones, al igual que el control parental y el manejo de llaves, hacen parte de los aspectos colaterales un poco tediosos que todos debemos estar dispuestos a enfrentar para sacarle el mayor provecho a la tecnología que disponemos actualmente.


Cada uno tiene su propia historia con las actualizaciones, por lo que es conveniente revisar su propia situación, necesidades y esfuerzos: Linux lo ha hecho bastante bien y ha servido de referente, Windows también ha tenido avances, aunque aún puede mejorar.


Al final de todo, las actualizaciones son un recordatorio más de que la vida es en esencia dinámica y cambiante y que nuestra mejor opción es adaptarnos con ella. Por supuesto, siempre es ideal procurar tener actualizados nuestro equipos y sistemas, pero el detalle está en hacerlo de una forma holística: dejar de ver el proceso como un simple protocolo, apropiarse de él para administrarlo, y así, que ya no nos cause más terror.













Fuentes


[7] https://sofistic.com/7-precedentes-de-bsod-producidos-por-la-actualizacion-de-soluciones-de -ciberseguridad-como-el-de-crowdstrike/




Si deseas tener siempre a la mano el artículo escrito por Zharet Bautista, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.



6 visualizaciones0 comentarios

Entradas recientes

Ver todo

Comentarios


bottom of page