Por José Manuel Gómez, Kriptópolis

El reciente anuncio de Microsoft, en el sentido de que incluirá soporte RSS (1) en su nuevo sistema operativo (2), ha puesto en guardia a la comunidad mundial de expertos en seguridad.

Y no se trata sólo de que Microsoft sea una empresa en permanente búsqueda de una seguridad que siempre se le muestra esquiva. Lo que preocupa sobremanera es que el aparentemente inocente formato RSS puede constituir, en sí mismo, una especie de bomba de relojería, cuya inclusión en un sistema operativo como Longhorn -que el potente marketing de Microsoft pronto se engargará de presentarnos como imprescindible- no hará sino facilitar nuevas fuentes de vulnerabilidades en los ordenadores de individuos y empresas...

El problema con RSS radica en que comparte una característica fundamental con la propia Internet: cualquier esfuerzo dirigido a facilitar el flujo de información implica una mayor dificultad a la hora de limitar ese flujo. Así, RSS facilita a los editores hacer llegar sus contenidos (cualquier contenido) a unos lectores ávidos de información de última hora. Sin embargo, ese contenido puede incluir cualquier etiqueta HTML válida (3), incluidas algunas potencialmente tan peligrosas como script, iframe, link, meta, style, object, embed, etc...

Naturalmente, los navegadores de Internet se ven obligados desde hace tiempo a reconocer todas esas etiquetas (y muchas más) y hacerlo de una manera conveniente (es decir, segura). Pero a pesar de toda la experiencia acumulada en ese campo, raro es el día que no conocemos alguna nueva vulnerabilidad en cualquier navegador debida -generalmente- al manejo erróneo de alguna de ellas.

Los lectores RSS -en cambio- no pueden beneficiarse de semejante experiencia. Cada lector ha de ser programado desde cero en ese sentido, dependiendo del interés o la capacidad de su autor la implementación que se haga -si es que se hace- de unas medidas de seguridad más o menos adecuadas (4).

En definitiva: ¿No le resultaría inquietante la posibilidad de que contenido activo procedente de cientos de sitios diferentes pudiera ejecutarse en su escritorio y que fuera Microsoft la encargada de filtrarlo? ¿Qué nos garantiza que no asistiremos a una reedición de toda la retahíla de fallos que lleva lastrando a Internet Explorer desde sus orígenes? ¿Cuántos individuos estarán ahora mismo frotándose las manos ante el anuncio de que dispondrán de una nueva posibilidad para instalar virus, troyanos y demás familia?

No puedo evitar concluir con un modesto consejo para empresarios y programadores avispados: estudien a fondo las muchas vulnerabilidades de RSS y prepárense para el nacimiento de un nuevo nicho de mercado en el software de seguridad. Microsoft les va a proporcionar los clientes.

  1. RSS [Wikipedia en español]
  2. RSS Support in Longhorn [Microsoft]
  3. How to consume RSS safely [Mark Pilgrim, 2003]
  4. RSS Reader Security Check [Test para comprobar la seguridad de su lector RSS habitual]

José Manuel Gómez
Kriptópolis