En el país de los ciegos, al principio al tuerto le hacen rey, pero al final casi le arrancan los ojos. Ese podría ser un buen resumen de la situación actual de la seguridad en los navegadores si la medimos en número de bugs detectados. Después de lo que comentó mi compañero Guillermo Julián basado en el estudio encargado por Microsoft, es hora de romper una lanza a favor de Firefox y rellenar los huecos que dejó ese informe con algunas indicaciones que no aparecen en el mismo.
Para el que no quiera leer el ladrillo que sigue (bonita forma de incentivar que le deis al Leer Más), lo resumiré en una línea: Firefox es uno de los navegadores más seguros en la actualidad. En el Sistema Métrico Campofutbolero, diría que Firefox está en la Champions League de la seguridad si no hubiera más equipos participantes que navegadores. Ahora, si quieres matices y otros rollos para nenazas, le das al Leer Más, de lo contrario no cierres la pestaña que tienes más entradas por ahi abajo.
Más ojos, más mejor
Empezaremos por lo evidente: el modelo de desarrollo de software libre obtiene una mayor tasa de descubrimiento de fallos, sobre todo si la aplicación es popular entre los desarrolladores. No hay tiempo ni ganas de pelearse con nadie explicando por qué (leed La catedral y el bazar), solo diré que la seguridad por oscuridad no es la mejor de las compañeras de viaje. No estoy diciendo que el código de Firefox sea menos (o más) propenso a fallos, solo que, a igualdad de popularidad, a igualdad de fallos, en una aplicación libre se descubren los fallos mucho más rápida y exhaustivamente que en una de código cerrado. El problema no es tener fallos de seguridad sino no encontrarlos… y que los encuentren otros antes.
Firefox y en parte los navegadores basados en Webkit (Chrome más que Safari, que tiene buena parte del código no libre), tienen esta ventaja sobre los navegadores no libres, en concreto Internet Explorer. Encima, encontrar bugs serios es algo que se promociona activamente recompensando con dinero real desde hace años, algo que también ha copiado Google hace un par de meses.
Así que, de entrada, contar el número de bugs encontrados no es algo especialmente significativo por sí solo, de hecho puede ser signo hasta de lo contrario. En este caso, obviando algunos temas que comentaré luego y teniendo en cuenta algunos atenuantes que comentaré ahora, resulta más en un punto para Firefox que para Internet Explorer. Un código al descubierto frente a un buen número de ojos es más robusto.
Comunidad más activa
Uno de los puntos por los que Firefox se puede considerar más seguro que otros es porque los mayores expertos en seguridad y los mejores desarrolladores del mundo pueden y han participado activamente en la búsqueda de fallos. Como decía antes hay muchos ojos y cuándo se descubre un fallo lo más probable es que lo vea más de una persona y además lo reporte directamente a Mozilla. Aunque deberían tener cuidado porque en la actualidad la comunidad de desarrolladores se está interesando más en Chrome (y otros derivados de Webkit) porque les permite jugar con cosas nuevas antes que en Firefox.
Si miramos la comunidad de desarrolladores para Internet Explorer... ¿qué creéis que es lo más probable, que reporten el fallo de seguridad a Microsoft o que vayan al mercado negro a vender un Zero Day Exploit? Lo más gracioso del informe de Microsoft es que reconoce que IE ha sido el único con vulnerabilidades extremadamente críticas, pero que no solo eran fallos de seguridad graves, sino que solo el último año hasta en siete ocasiones (conocidas) diversos maleantes se valieron de las mismas para atacar a usuarios con éxito.
Es decir, que según Microsoft no uses Firefox que es poco seguro, mejor usa IE aunque sea es el único que ha sido explotado exitosamente. Que oye, al final los días que tarda Microsoft en actualizar su navegador no son tantos. Y que si alguien ha atacado IE es porque lo usa mucha gente… ¡y si lo usa tanta gente es porque es muy bueno! Si no fuera tan bueno, perdería cuota de mercado. Poco a poco. Pero imparablemente. Ouch.
Actualizaciones constantes
¿Qué prefieres un navegador con 10 vulnerabilidades recién parcheadas o uno con 2 sin parchear? El ciclo de actualización de IE es muy lento, inaceptable para el mundo de los navegadores. Si tuvieran razón y su modelo de desarrollo fuera el indicado para producir software de calidad… ¿por qué no hay un salto de calidad entre IE y el resto? Mejor dicho, ¿por qué se ha producido un salto de calidad entre el resto de navegadores respecto a IE?
Lo cierto es que las versiones de Firefox son mucho más constantes y cercanas en el tiempo, y al meter funcionalidad nueva también introducen nuevos fallos, pero corrigen bastantes viejos. Al mismo tiempo, el usuario de Firefox actualiza su navegador con mucha más frecuencia que el de IE. No puedo terminar este punto sin mencionar a Chrome, que desde mi punto de vista tiene el modelo de actualización perfecto: transparente al usuario, sin dar la opción de no actualizar. De este modo tenemos todos los sistemas perfectamente actualizados.
¿Es este un factor clave en la seguridad? Pues sí, sobre todo si la mayoría de tus usuarios no usan la última versión, como podemos comprobar en las sucesivas gráficas. Mira cómo Firefox se queda en una especie de compromiso entre la rapidez de actualización y el poder de decisión del usuario. Traspasa este modelo a la instalación de parches y actualizaciones y te encuentras con una buena cantidad de IEs vulnerables/desactualizados frente a una nula cantidad de Chromes y una ínfima cantidad de Firefox.
A esto le tenemos que sumar que, citando el estudio de Microsoft de marras, Firefox es el único navegador que ha resuelto el 100% de las vulnerabilidades. No solo es el que más incita a descubrirlas, también es el más diligente a la hora de resolverlas, y eso es un muy buen punto a su favor.
No todo Firefox es orégano
El informe de Microsoft sorprende porque es relativamente aceptable si lo comparamos con las atrocidades que exclamaron en ocasiones pasadas. Cosas como que certificados como el de FNMT (no confundir con las tortugas ninja) no esté en el navegador de fábrica es algo que se viene sufriendo unos años (aunque la culpa sea de la FNMT); a la vez Firefox me da la sensación de que su estructura es algo menos estable que antes y que tardan más en evolucionar que la competencia (pero menos que IE).
Aún teniendo todo esto en cuenta, IE sigue pareciendo estar a un nivel por debajo en cuestión de seguridad, y que se compare con Chrome en base a X características escogidas a dedo es una broma de mal gusto teniendo en cuenta que en concursos de seguridad como Pwn2own ha destacado por encima del resto. ¿Por qué siempre estos informes contienen afirmaciones que intentan que creamos aunque no tengan base en la realidad? Porque es su trabajo.
Aclaración: En Genbeta escribimos varios editores de manera totalmente independiente, así que lo normal es que cada uno se guarde su propia opinión. A veces la compartimos, a veces diferimos y salen entradas como estas. A lo que voy es que los editores de Genbeta no es una entidad uniforme ni una institución. Ni siquiera Genbeta si nos referimos al contenido, aunque se intenta ser coherente hay casos en los que es necesario dar los dos puntos de vista (como le dijo un frutero a Al Pacino, el correcto y el equivocado).