Ahora, que amaina un poco el temporal, comienzan a aparecer por todas partes valoraciones a posteriori sobre el infame caso Sony.

Opiniones hay muchas; de hecho -para bien o para mal- cada uno de nosotros tiene la suya. Sin embargo, es indudable que la valoración de un reputado gurú de la seguridad como Bruce Schneier, tiene más posibilidades que las nuestras de desencadenar comentarios, réplicas e incluso acontecimientos.

Como bien saben los lectores de Kriptópolis, Schneier cargó recientemente las tintas contra las empresas antivirus, a las que acusó de no haber estado a la altura de la amenaza.

Pero no todo el mundo opina igual. Con independencia de que la reacción de estas empresas se demorara mucho más de lo recomendable, este episodio hace resurgir una pregunta cuya respuesta se sigue mostrando esquiva: ¿Qué tipo de amenazas debería reconocer un antivirus?

El tema ya ha sido tratado en Kriptópolis, al respecto de un antivirus que identificaba como amenazas herramientas no necesariamente malignas. Se trataba claramente de exceso de celo, pero ocurre que el caso Sony quizás ha resultado tan dañino exactamente por lo contrario: porque los antivirus han pecado de condescendientes con un software procedente de fuentes presuntamente fiables...

Como hemos comentado hace poco, fiarse de las "fuentes fiables" puede resultar suicida en términos de seguridad informática. Pero, aún estando de acuerdo en eso, seguimos sin responder la pregunta.

¿Debe un antivirus reconocer cualquier tipo de amenazas? Si la respuesta es sí me temo que estemos resultando en exceso optimistas (e incluso utópicos), pero si la respuesta es no tampoco habremos avanzado mucho. Quizás replanteando la pregunta, y haciéndola más concreta, nos acerquemos un poco más a la solución.

¿Debe una empresa antivirus analizar cada CD que sale al mercado, para ver si incorpora algún tipo de software intrusivo? (y aún en ese caso probablemente no habría acuerdo a la hora de definir qué resulta intrusivo). ¿Debe un antivirus reconocer como amenaza para la seguridad de un usuario la presencia en su sistema de software vulnerable? (algo que no haría sino transformar la pregunta en otra: ¿Acaso un Explorer perfectamente parcheado no sigue resultando vulnerable?).

Mi opinión -que también la tengo- es que Schneier tiene razón en al menos un par de aspectos fundamentales: (1) el hallazgo de Russinovich debería haberlo hecho una empresa antivirus, y (2) las empresas antivirus atravesaron una etapa de paralizante perplejidad antes de atreverse a calificar como malware un producto procedente de dos empresas presuntamente fiables.

Probablemente las compañías antivirus no pueden responsabilizarse de las innumerables brechas que puede presentar el sistema del usuario-cliente; sería exigirles algo que no pueden dar. Sin embargo, los sistemas de protección DRM más relevantes, incluidos en millones de ejemplares de discos que van a ser reproducidos por usuarios comunes, deberían ser diseccionados bit a bit por estas empresas, sin presuponer garantías de ningún tipo ligadas a marcas o intereses comerciales más o menos compartidos.

Si así lo hacen en el futuro, que el mercado se lo premie. Pero si no, que se lo demande.