Un anuncio de Microsoft que admitía ayer la existencia de un grave fallo de seguridad en su navegador Internet Explorer ha vuelto a desatar las alarmas en la red, apenas un par de semanas después de que otro fallo, el de Heartbleed, que afectaba a la identificación de los usuarios en las páginas web, pusiera en cuestión la protección de los usuarios ante los programas de software. El nuevo fallo --que afecta a todas las versiones del navegador-- será además el primero para el que Microsoft ha anunciado que no habrá parche (así se llaman las soluciones a los problemas de seguridad) en el caso de los usuarios de Windows XP, el viejo sistema operativo de la compañía para el que el pasado día 8 esta dejó de dar soporte pero que aún utilizan casi un tercio de los usuarios de todo el mundo, en su mayoría empresas y organismos (18% en España).
El fallo de Internet Explorer es de los llamados "de día cero", es decir, aquellos que afectan a un programa desde sus primeras versiones. Fue descubierto por una compañía de seguridad estadounidense, FireEye, que lo anunció antes de que estuviera disponible el parche, al revés de lo que ocurrió con Heartbleed. Entonces, los ingenieros de Google se guardaron la información hasta que tuvieron instalado en sus servidores el parche para el OpenSSL, que era la herramienta afectada.
ATAQUES EN MARCHA En el caso de este fallo, la justificación de sus descubridores para no esperar la solución fue que ya estaban registrando ataques aprovechando el defecto, un extremo que ha admitido Microsoft, que lo ha reducido a "ataques dirigidos y limitados" a empresas. Para el Instituto Nacional de Tecnologías de la Comunicación (Inteco), el centro del Gobierno español para la seguridad informática, el fallo es de los considerados "críticos" con el máximo nivel, el 5, pero solucionable. "Los usuarios de Windows XP, sin embargo, se quedarán con el fallo para siempre porque no lo piensan arreglar. Lo mejor es usar otro programa", afirma Asier Martínez, técnico de Inteco, que asegura que, de momento, no han detectado ataques con esta vulnerabilidad.
El método de ataque se aprovecha de Flash Player, uno de los programas accesorios que se utilizan para ver animaciones en páginas web. A través de él, delincuentes informáticos pueden tomar el control del ordenador de un usuario, sobre todo si navega con permisos de administrador (el que puede instalar programas). "Los delincuentes pueden hacer lo que quieran, desde borrar datos a instalar troyanos o a utilizar el ordenador en una red", explica Josep Alborch, jefe de laboratorio de la empresa de antivirus Ontinent. "La mayoría de los usuarios navegan con permisos de administrador, cuando lo mejor es tener un perfil que no se toque y sirva para instalar programas y otro, sin estos permisos, desde el que se navegue", señala Alborch.
