Pero... ¿qué es UAC?. Básicamente, es una forma de proteger al usuario de sà mismo. UAC considera a todos los usuarios, incluido al administrador, como un usuario normal y sin privilegios.
Cada vez que algo o alguien intente modificar cualquier cosa en algunas de las zonas protegidas del sistema, ésta caracterÃstica implementada ahora en Windows Vista -pero existente desde hace tiempo en otros sistemas como Mac o Unix-, interceptará el pedido y analizará si el usuario tiene o no los permisos necesarios para continuar.
Hace unos pocos dÃas, Robert Paveza, un desarrollador de aplicaciones Web de una compañÃa norteamericana, publicó detalles de una vulnerabilidad en este proceso, en el documento al que hice referencia antes.
Básicamente, se trata de un ataque en dos pasos, porque primero requiere que una aplicación maliciosa (un troyano), sea descargado y se ejecute en el PC. Este programa puede estar camuflado como algo legÃtimo que el usuario realmente desea descargar.
Mientras ello ocurre -y serÃa el otro paso-, este software puede estar bajando de Internet otro código malicioso en un segundo plano, sin que el usuario ni el sistema lo adviertan.
La opinión de Microsoft sobre el problema es muy sencilla. Las acciones que Paveza pretende demostrar, son aquellas que cualquier atacante podrÃa tomar sobre un sistema que ya ha sido comprometido de alguna manera.
Básicamente, si entendemos como funciona UAC, esto significa que se requiere la interacción con el usuario para la infección inicial (y contar conque el antivirus instalado no detecte nada en ese momento).
No hay aquà mucho de diferente a cualquier otra situación actual. Por ejemplo, recordemos el gusano que simula ser una animación graciosa de Bush que alguien nos envÃa por Messenger, o el correo electrónico con un mensaje supuestamente enviado por nuestro banco pidiéndonos seguir un enlace para acceder a una página en la que debemos "confirmar" la contraseña de nuestra cuenta para no perderla.
El problema aquà no es el sistema, el problema, como siempre, es el usuario.
Cómo explica Andrew Lee, director de tecnologÃa de ESET en un artÃculo publicado hace ya un tiempo "el hecho de no permitirle privilegios administrativos completos a un usuario común (por lo menos no de manera predeterminada) finalmente lleva al sistema operativo Windows de Microsoft, a un punto donde, su configuración, puede alertar al usuario más cauteloso de los problemas que son comunes a los programas no deseados."
"No obstante," agrega Lee, "no lo lleva más allá de eso, y no resuelve el problema real que es que los usuarios simplemente no saben cómo distinguir entre acciones legÃtimas y las que probablemente causen un problema."
Debemos recordar, como nos dice Microsoft, que UAC "no es un firewall". UAC debe ser utilizado como una función de seguridad, una herramienta para ayudarnos a ser menos susceptibles a las tentaciones, pero de ningún modo nos va a proteger de nosotros mismos.
Es seguro que el software o el hardware de seguridad que instalemos en nuestro PC, no nos harán más inteligentes ni tampoco menos tontos, si a pesar de todo seguimos curioseando con esa imagen graciosa que alguien nos envÃa, o aceptamos cualquier muñequito de colores que alguien nos adjunta en un correo sin haberlo solicitado.
TodavÃa me hace gracia ver como muchas personas que en la calle se cuidan de contar dinero en público, o evitan transitar por ciertos lugares oscuros, recorren sin ningún temor y de forma totalmente inconsciente la autopista de Internet, dando incluso los datos de su tarjeta de crédito a cualquiera que en el camino se los pida.
Solo estaremos más seguros en nuestro PC, cuando aceptemos a conciencia que los hechos diarios de la vida no difieren casi nada de lo que ocurre en Internet.
Fuente de información: LaFlecha.net
