Seguro que, más de una vez, os han dicho que la seguridad 100% no existe. Cierto es que no hay ningún sistema operativo que esté libre de vulnerabilidades y que, en un mundo ultraconectado, estas representan un riesgo para nosotros.
Que os parecería si os decimos que, aunque la seguridad perfecta no existe, sí hay un sistema operativo que permite cierta confianza y tranquilidad que, aunque tenga vulnerabillidades, nuestros datos estarán a salvo y seguros y que, además, podremos navegar de forma anónima?
Ese sistema existe y se llama Qubes, creado Joanna Rutkowska famosa por su Blue Pill que permitía saltarse el Ring0 e instalar un rootkit indetectable.
Qubes utiliza la seguridad por aislamiento y asume que cualquier usuario del mismo ya ha sido comprometido.
¿Qué quiere decir esto de seguridad por aislamiento?
Mediante el uso de máquinas virtuales estableceremos diferentes «dominios» en donde trabajaremos dependiendo el grado de confindecialidad e integridad con el que valoremos los datos que contendrán cada uno de ellos.
Los grados de confianza en Qubes se establecen mediante un esquema de colores, yendo del rojo (datos menos sensibles) al negro (más sensibles).
Pero, ¿qué son los dominios?
Imaginemos que tenemos nuestros datos personales, datos del trabajo y, por ejemplo, documentos confidenciales que no deberían tener acceso de red en nuestro ordenador. En un entorno común, si nuestro usuario o pc se ve comprometido, el ciberdelincuente podría tener acceso a todos ellos, incluyendo los más importantes. En Qubes esto no sucedería ya que la información está guardada en máquinas virtuales aisladas incluso, si el usuario así lo requiere, de la red.
Os estaréis preguntando: ¿No puedo hacer lo mismo con VirtualBox o VMWare?
La respuesta es sencilla: NO. Qubes es un hipervisor de tipo 1, lo cual quiere decir que no hay un sistema operativo por debajo de estas máquinas virtuales que pueda ser comprometido fácilmente.
Además, todas estas máquinas virtuales están gestionadas de forma sencilla, a través de un sistema de control que permite asignar los acceso a red; crear nuevas máquinas virtuales de aplicación; crear nuevas plantillas de sistemas operativos, etc.
La máquina principal es la DOM0 y es la que gestiona el acceso a hardware de las demás; ésta controla el subsistema gráfico y de audio, también.
Después tenemos la SYS-USB que tiene acceso a los dispositivos USB y nos permite asignarlos a las máquinas virtuales que estemos utilizando en ese momento.
Las plantillas son sistemas operativos completos virtualizados, basados en Fedora, Debian, Whonix y Windows, sobre los que instalaremos las aplicaciones para su uso, posteriormente, en las máquinas virtuales de aplicación.
Las máquinas virtuales de aplicación son máquinas que cogen como base una de las plantillas mencionadas anteriormente; en ellas se crea una partición /home en donde se guardarán nuestros datos y configuración. La partición de sistema se monta en solo lectura y pertenece a una de las plantillas que hayamos seleccionado para nuestra APPVM.
Los accesos a la red también están delimitados por 3 máquinas virtuales de red: una que gestiona el acceso a hardware (previo permiso del DOM0) y las conexiones, SYS-NET; otra que contiene un sistema de cortafuegos completo y configurable para cada máquina virtual que le asignemos, SYS- FIREWALL; y otra con un gateway Whonix que nos permite anonimizar nuestras conexiones mediante la red TOR, SYS-WHONIX.
La transferencia de datos entre las máquinas se hace mediante una integración, por parte del equipo de Qubes, que permite copiar ficheros y contenido del portapapeles entre ellas mediante el menú contextual del botón derecho del ratón.
Ya sabéis qué dice aquella frase tan famosa: «Segmenta y vencerás»
Joan Massanet
