Your submission was sent successfully! Close

You have successfully unsubscribed! Close

Thank you for signing up for our newsletter!
In these regular emails you will find the latest updates about Ubuntu and upcoming events where you can meet our team.Close

¿Linux es seguro?

La seguridad del sistema operativo es el nivel máximo de seguridad de su aplicación

Read now

Conozca a Pal. Pal es un desarrollador sénior que trabaja en PalBank.
Durante los próximos 6 meses, Pal será responsable de dirigir el desarrollo de la aplicación web cliente del banco, que millones de clientes utilizarán a diario.

Pal invierte un esfuerzo considerable en el diseño y la implementación de la aplicación más segura razonablemente posible: desarrollo estrictamente controlado y seguro, canalizaciones de compilación y despliegue, análisis estático de código, pruebas de penetración realizadas por terceros, autentificación multifactor para acceder a la aplicación y cifrado de datos en reposo. ¡Y la lista continúa!

Pal es el mejor, ¿verdad? Por desgracia, aunque estos esfuerzos son esenciales, son insuficientes. E incluso si asumiéramos, en aras del argumento y el humor, que la aplicación web cliente de PalBank está completamente libre de todas las vulnerabilidades de software conocidas y desconocidas, las garantías de seguridad de la aplicación están destinadas a verse amenazadas una vez que los consumidores la ejecuten en sus dispositivos de punto final. Se verán amenazadas por las millones de líneas de código que componen el software del sistema privilegiado de la plataforma, si este se vuelve malicioso o se ve comprometido. En este contexto, el software del sistema incluye el SO, el gestor de máquinas virtuales y todo el firmware de las plataformas que incorpora.

Dicho de otro modo, poco importa que un usuario elija una contraseña única y perfectamente segura, cuando su SO está infectado con un keylogger que la filtra a terceros malintencionados. Del mismo modo, poco importa si su código no tiene desbordamientos de búfer, si su SO tiene una puerta trasera y simplemente decide filtrar todos los datos de sus clientes a terceros malintencionados.

Entonces, ¿por qué la seguridad de las aplicaciones a nivel de usuario depende de la seguridad de su software de sistema subyacente? La razón es la arquitectura jerárquica de los dispositivos básicos: el software de sistema privilegiado obtiene acceso sin restricciones a todos los recursos de las aplicaciones de nivel de usuario sin privilegios, porque controla su ejecución, su memoria y su acceso al hardware subyacente. Efectivamente, es una característica, no un error.

is linux secure blog pic 1
Foto de regularguy.eth en Unsplash

Por lo tanto, es extremadamente importante tener en cuenta el estado de seguridad del SO de los dispositivos de punto final, y utilizar el SO más seguro posible.

Aquí es donde entra Linux

Linux hace referencia a un grupo de SO creados a partir de software de código abierto y el kernel de Linux, agrupados en una distribución Linux. En 2004, Mark Shuttleworth fundó Canonical para producir la distribución Ubuntu, y desde entonces Canonical ha publicado una nueva versión de Ubuntu cada 6 meses.

«Código abierto» significa que el software se publica con una licencia que permite a cualquiera consultar el código fuente, modificarlo y distribuirlo como desee. Suele desarrollarse en colaboración con programadores de todo el mundo. Existen numerosas variantes de licencias de código abierto, pero todas ellas permiten en general este modelo de colaboración y distribución abiertas.

Linux es tan adecuado para una laptop como para ejecutar una aplicación de misión crítica en la nube o en sus servidores. El kernel de Linux es el corazón del SO, pero funciona detrás de las cámaras: todas las aplicaciones que utilizamos a diario, como el navegador web, el programa de correo electrónico, los juegos de cartas, las herramientas para desarrolladores, etc., se ejecutan sobre el kernel. El desarrollo corre por cuenta de grupos independientes, y luego depende de un editor como Canonical agrupar todo el software que la gente pueda necesitar en una única distribución; Ubuntu ofrece muchos miles de las aplicaciones y paquetes de software más populares en la última versión de Jammy Jellyfish.

Cada 6 meses, en abril y octubre, se lanza una nueva versión de Ubuntu, con un nombre simpático (por ejemplo, Bionic Beaver [Castor biónico]) y un número de versión que refleja el año y el mes en que se produjo. Cada dos años, la versión de abril se designa como versión de soporte a largo plazo, lo que significa que Canonical proporcionará actualizaciones y correcciones de seguridad para los paquetes de software durante 5 años. Canonical lleva apoyando a Ubuntu de esta forma desde 2004.

Ubuntu se publica en 3 ediciones: Desktop, Server y Core (para dispositivos IoT y robots). Más de 3 millones de personas utilizan Ubuntu Desktop y cada día se lanzan más de 100 000 nuevas instancias de Ubuntu en la nube pública.

¿Y qué hay de la seguridad?

Una vulnerabilidad de seguridad es un defecto o error de software que puede ser explotado para permitir a un adversario obtener acceso no deseado a un sistema o dañar su funcionamiento de alguna manera. Las vulnerabilidades de seguridad son un hecho inevitable de la vida, pero lo que marca la diferencia es cómo nos enfrentamos a ellas. Ningún sistema de software es inmune a las vulnerabilidades de seguridad, y todos los sistemas de software que utilizamos hoy en día deben mantenerse actualizados con las últimas correcciones.
En el mundo del código abierto podemos ser totalmente transparentes sobre qué problemas se han solucionado y cuándo, porque todo el mundo puede inspeccionar el código fuente. La gran mayoría de las vulnerabilidades de seguridad son descubiertas por investigadores que estudian el software e informan de los problemas para solucionarlos y mejorar el software para todo el mundo. Funcionan mediante un modelo de divulgación responsable, en el que el investigador informa de la vulnerabilidad al editor del software, que dispone de tiempo suficiente para aplicar una solución al problema y publicar una versión actualizada del software antes de que el investigador informe al mundo sobre la vulnerabilidad. Sin embargo, no todo el mundo actúa así, y hay algunos actores maliciosos que descubren vulnerabilidades para quedárselas para sus propios fines nefastos, o para vendérselas a otros y utilizarlas en ataques de «día cero» (llamados así porque el desarrollador del software ha tenido cero días de preaviso para solucionar el problema y publicar un parche).

Parchear vulnerabilidades conocidas

¿Cómo pueden perjudicarle las vulnerabilidades conocidas? Al fin y al cabo, si conocemos una brecha de seguridad y está disponible el parche que garantiza resolverla, seguramente todo el mundo parchearía inmediatamente sus sistemas afectados. ¿Cierto? Desgraciadamente, eso está muy lejos de la realidad. En un informe publicado en Verizon 2022, se descubrió que solo el 25 % de las organizaciones analizadas parcheaban vulnerabilidades conocidas en los dos meses siguientes a su divulgación pública.

is linux secure blog pic 2
Foto de Sajad Nori en Unsplash

Pero, ¿por qué iba alguien a dejar que su organización sea vulnerable a los ciberataques de forma voluntaria y consciente? Una vez más, la respuesta está en la eterna tensión entre seguridad y usabilidad. Pregunte a cualquier administrador de sistemas y le dirá que el trabajo no programado que supone parchear vulnerabilidades lleva mucho tiempo, es caro y, a veces, simplemente imposible, porque necesitan mantener el servidor en funcionamiento.

Livepatch: parchea el kernel mientras está funcionando

Vuelva a preguntar a estos mismos administradores y también le dirán que les encantaría una solución que les permitiera parchear vulnerabilidades mientras el sistema funciona sin necesidad de reiniciarlo. ¡Problema resuelto! Para el kernel de Ubuntu, esto es precisamente lo que ofrece Livepatch.
Livepatch permite parchear las vulnerabilidades críticas y de alta gravedad del kernel en tiempo de ejecución. Dado que estas últimas representan el 40 % de todas las vulnerabilidades altas y críticas, Livepatch aportará a su organización beneficios cuantificables y un retorno de la inversión inigualable.

Livepatch se adapta perfectamente a nuestras necesidades. No hay otra solución igual y es muy rentable. La migración manual de máquinas virtuales, la aplicación de actualizaciones del kernel y el reinicio tardaron un promedio de 32 horas por servidor. Multiplicado por 80 servidores, fueron más de 2500 horas de trabajo.

Shinya Tsunematsu, jefe de Ingeniería de la División Técnica, GMO Pepabo
Lea el caso de estudio de GMO Pepabo ›

Una ventaja de seguridad adicional

Pero ¿qué ocurre con el resto de vulnerabilidades no relacionadas con el kernel que no están cubiertas por Livepatch? Aquí es precisamente donde brilla el ecosistema de Canonical. Con cada versión de Ubuntu de soporte a largo plazo (LTS), siempre se beneficiará de 5 años de mantenimiento de seguridad estándar para el SO base, los paquetes de software críticos y los componentes de infraestructura. Y si, por alguna razón no puede actualizar a la siguiente versión LTS después de 5 años, puede utilizar el Mantenimiento de Seguridad Ampliado de Canonical para permanecer seguro durante un total de 10 años. Está disponible a través de una suscripción a Ubuntu Pro con una licencia gratuita disponible para uso personal.

Este enfoque innovador no solo ofrece una propuesta de valor de seguridad convincente, sino también una propuesta empresarial igualmente convincente. Pal puede contar de primera mano cómo esto le ha permitido habilitar un ecosistema de código abierto seguro y estable para Palbank, y prescindir de la carga habitual de mantenimiento. Como ya no tiene que preocuparse de analizar, aplicar y probar las últimas actualizaciones de seguridad, puede dedicar todo el tiempo que necesite a ofrecer la mejor aplicación bancaria a sus clientes, e incluso tomarse unas vacaciones o dos de vez en cuando.

is linux secure blog pic 3

¿Y qué pasa con las amenazas desconocidas?

Si conocemos una vulnerabilidad de seguridad, podemos parchearla, pero ¿qué pasa cuando un atacante utiliza un exploit que aún no se ha corregido? Aquí es donde ayuda el ecosistema Ubuntu. La naturaleza del software de código abierto hace que sea mucho más difícil para los delincuentes introducir puertas traseras en el software. El código fuente está disponible de forma gratuita para que todo el mundo pueda leerlo, y Canonical revisa y supervisa el código de cada paquete que se incluye en Ubuntu, lo que significa que puedes instalar todo el software que necesites desde una fuente de confianza, respaldado por el historial de décadas de parches y soporte de Canonical, sin tener que recurrir a descargar trozos de código al azar de Internet.

Otro beneficio de usar paquetes de Ubuntu es que todo el código que Canonical compila en paquetes está configurado para usar las últimas contramedidas de seguridad del compilador. Estas opciones del compilador se centran en las comprobaciones de protección de memoria y ayudan a garantizar que el software esté reforzado contra ataques en memoria, como desbordamientos de búfer y corrupción de heap, que han plagado el código nativo durante muchos años.

Ubuntu está configurado, de forma predeterminada, para ser seguro. Una instalación nueva de Ubuntu Desktop no abre ningún puerto de red del que un atacante pueda abusar, y ya tiene activado un cortafuegos. Para limitar el daño potencial de ataques desconocidos, Ubuntu utiliza AppArmor, que es un mecanismo de espacio seguro integrado en el kernel de Linux que establece restricciones predefinidas sobre lo que las aplicaciones pueden hacer en el sistema. Así, por ejemplo, si un sitio web malicioso intentara aprovechar una vulnerabilidad del navegador Firefox, AppArmor impediría que el código de explotación comprometiera todo el sistema.

Entonces, ¿Linux es seguro?

El kernel de Linux y todo su ecosistema de distribuciones de SO se construyen en torno a los valores de apertura, transparencia, agilidad y confiabilidad. Estos valores son los que sientan las bases de la seguridad del software moderno en el que se basa Canonical.

Dado que Ubuntu se sostiene sobre hombros de gigantes, podía permitirse mirar a su alrededor y escuchar lo que necesitan las empresas modernas: mantenimiento y soporte de seguridad de nivel empresarial, suministrados de forma confiable día tras día por una entidad comercial consolidada, en la que pueda confiar para que sea su socio digital, ahora y en el futuro.

Lo que millones de clientes, y Pal, han descubierto, es que la versión Ubuntu LTS con una suscripción a Ubuntu Pro y LivePatch activado, es el SO más razonablemente seguro por el que se puede apostar. Esta es la razón por la que siguen eligiendo Canonical Ubuntu, todos los días, para impulsar sus computadoras de escritorio, dispositivos IoT, centros de datos y cargas de trabajo de nube pública.

is linux secure blog pic 4

More resources