Fue Paul Baccus, uno de los gurús de la seguridad e investigador de Sophos, quien pidió a los asistentes a su conferencia que votasen sobre la posibilidad de abolir el formato PDF, y recibió el apoyo del 97% de la sala. Virus Bulletin ha reunido en Vancouver, Canadá, a 600 expertos en seguridad este año.
Al igual que Flash, PDF se ha convertido en un estándar tan grande que ha atraído la atención de los ‘hackers’. Unido a los progresos que ha realizado Microsoft para proteger sus códigos, lo han dejado en una posición muy vulnerable a pesar de los esfuerzos de Adobe.
Aunque no se tratase de una votación oficial y aunque el público asistente no fuese representativo del total de los expertos en seguridad, se trata de un fuerte golpe para Adobe, que ve cómo sus estándares están en el punto de mira de diversos agentes de la industria.
El fallo de seguridad de iPhone 4 y los PDF
Precisamente, uno de los agujeros de seguridad más graves sufridos por los ‘smartphones’ tiene esta origen. Cuando salió al mercado iPhone 4, Apple se dejó un agujero en Safari Mobile que permitía la instalación de cualquier ‘software’, como por ejemplo el necesario para hacer ‘jailbreak’ o para liberar el teléfono.
Este ‘exploit’ aparecía al ejecutar archivos PDF, ya que una de las tipografías no instaladas en el lector que podía utilizarse embebida después, no pedía autentificación, comprobantes o medidas de seguridad algunas, por lo que podía ser utilizada como puente. Todo acabó con la versión 4.1 de iOS.
ReadWriteWeb.es |
PDF es un formato de almacenamiento de documentos sujeto a un estándar (ISO 32000-1) de forma que, PDF simplemente son una especie de directrices, mediante las cuales se organiza la información de nuestros documentos para que puedan ser interpretados por aplicaciones que sepan leer documentos PDF.
En este caso, y tal como titulaba Genbeta Vulnerabilidad grave 0-day en Adobe Acrobat y Reader el problema, en principio, viene debido a fallos en los programas de Adobe, y no es un problema propiamente dicho del formato PDF.
También hay que decir que recientemente se han incluido mayores posibilidades multimedia y la ejecución de scripts, lo que ha provocado la mayoría de todas las noticias negativas generadas en torno al formato PDF.
Comentar que hay que dejar de utilizar PDF porque es un producto de máxima difusión es como esgrimir que el sistema operativo Windows no debería ser utilizado porque es el más utilizado hoy en día. O aplicado en la vida real, rechazar comprar unas zapatillas Nike por el mero hecho de ser líderes en ventas (desconozco este dato, pero creo que ejemplifica correctamente).
Tal vez el problema no esté en el formato PDF, sino en las aplicaciones que se utilizan para visualizarlos. En este caso Adobe es el que debería dar explicaciones y asegurar la calidad de los productos que lanza. Asegurándose de ejecutar scripts firmados convenientemente o permitiendo que el usuario lo decida, explicando los riesgos que ello conlleva.
Pero miremos un poco más allá. Las ventajas en el uso diario del formato PDF están claras. Así mismo está claro que hay aspectos de este formato que hoy en día están dando problemas. ¿Por qué no evolucionar? Porqué no sacarse del sombrero un securePDF o similar que restrinja algunas de las opciones más controvertidas del formato PDF.
Está claro que, lo primero que hay que hacer, es evolucionar las aplicaciones para que resulten seguras. El formato PDF tendrá que evolucionar, como lo hacen todos los formatos, pero añadir un formato nuevo no parece la mejor solución, ya que una de las principales ventajas de PDF es su universalidad. El usuario sabe que se verá correctamente en cualquier ordenador que tenga un lector.
Viendo los quebraderos de cabeza que dio a los usuarios la llegada de los archivos Docx, sacar un nuevo formato que no pueda ser leído por el software ya existente sería un pequeño paso atrás. Aunque ya se sabe. A veces es necesario dar un paso atrás para dar un gran salto. En esas estamos…