Todos estamos acostumbrados a que, el segundo martes de cada mes, nuestro sistema operativo Windows reciba una serie de actualizaciones de seguridad, actualizaciones que buscan corregir todas las nuevas vulnerabilidades detectadas en las últimas semanas y permitir así a los usuarios hacer uso de sus sistemas operativos de la forma más segura posible. Sin embargo, lo que seguramente no sepamos es que Microsoft no actúa por igual con todas las vulnerabilidades, incluso que no todos los fallos que le llegan a la compañía se solucionan mediante parches mensuales.

Microsoft acaba de publicar un documento gracias al cual nos podemos hacer una idea de cómo actúa la compañía respecto a las vulnerabilidades que se encuentran en su sistema operativo. Cuando sus propios ingenieros, o algún experto en seguridad externo, reportan un fallo de seguridad en el sistema operativo (o en alguno de los otros productos de software de Microsoft), la compañía se hace básicamente dos preguntas:

1. ¿Excede la vulnerabilidad un límite de seguridad o afecta a las características de seguridad que permiten protegernos de otros ataques?
2. ¿Su gravedad implica acción inmediata?

Si la respuesta a las dos preguntas anteriores es “Si”, entonces Microsoft lanza una actualización de seguridad para corregir la vulnerabilidad. Si la respuesta a alguna de las dos preguntas es “No”, entonces Microsoft no lanza un parche de seguridad a corto plazo, sino que espera a la siguiente versión del software para corregirla.

No todas las funciones de seguridad de Windows son igual de importantes para Microsoft a la hora de corregir vulnerabilidades

Para que Windows pueda ser seguro y los usuarios no tengan problemas, el sistema operativo cuenta con muchas características de seguridad que protegen tanto al sistema y sus datos como la integridad de Windows. Sin embargo, aunque Microsoft se compromete a solucionar cualquier posible debilidad en estas funciones de seguridad, para la compañía no todas estas funciones son igual de importantes.

Windows tiene algunas características de seguridad diseñadas para proteger el ordenador y todos los datos guardados en él, funciones como, por ejemplo, Windows Hello, Secure Boot y Bitlocker. Estas funciones de seguridad tienen un nivel de seguridad “estricto” y, por lo tanto, cualquier fallo detectado en ellas debe ser solucionado rápidamente. Por el contrario, hay otras funciones de seguridad en el sistema, como Controlled Folder Access, Windows Defender, AppLocker y User Account Control (UAC) que no son tan críticas para la seguridad del sistema y, aunque Microsoft solucionará sus fallos de seguridad, no lo hará hasta la siguiente versión.

La gravedad de la vulnerabilidad también afecta, aunque menos de lo que pensamos

Por último, Microsoft analiza la gravedad de la vulnerabilidad que se ha detectado para su sistema. Así, si la gravedad es crítica o grave, y además supera un límite de seguridad o afecta a una característica de seguridad, entonces la compañía lanzará una actualización para corregirla. Si por el contrario no se cumplen las dos condiciones anteriores, entonces Microsoft no lanza una actualización de seguridad, sino que espera a la siguiente actualización de Windows para corregir la vulnerabilidad.

Por todo ello, es muy importante, además de instalar los parches de seguridad que se lanzan todos los meses, instalar siempre las actualizaciones de mantenimiento, incluso dar el salto a las últimas versiones, como la actual April 2018 Update de Windows 10, ya que con cada actualización del sistema operativo se corregirán problemas y errores que, mediante los parches de seguridad, no se corregirían.

¿Sueles mantener siempre tu sistema actualizado?