A lo largo de los años, la seguridad y la privacidad se han convertido en dos áreas que preocupan a cada vez más usuarios. La destacable cantidad de brechas de datos de las que han sido víctimas hasta reputados servicios, las actuaciones cada vez más agresivas de actores maliciosos y agencias de inteligencia y el constante aumento de las amenazas contra sistemas y usuarios han despertado una demanda creciente de productos que ofrezcan seguridad y/o privacidad. Por un lado tenemos la mayor demanda de expertos en ciberseguridad que se encargan de verificar la integridad de los sistemas y de realizar pruebas para asegurarse de que son seguros.
Los sistemas operativos orientados a dicho segmento han visto aumentar su demanda lo suficiente como para empezar a competir no solo entre sí, sino también con los sistemas operativos de propósito general, aunque siempre sin perder su enfoque (a fin de cuentas, siguen dirigiéndose a un público muy específico). Por otro tenemos las soluciones orientadas a aportar seguridad y/o privacidad al propio usuario, o lo que viene a ser lo mismo, sistemas operativos orientados a ofrecer mecanismos de protección. Aquí nos encontramos con dos posibilidades complementarias dependiendo de si se busca privacidad o seguridad.
Para lo primero lo que se suele hacer es anonimizar el tráfico recurriendo a Tor o a alguna solución de VPN. Para lo segundo hay diversas vías, pero la más habitual es recurrir al aislamiento (sandbox) mediante máquinas virtuales. A lo mencionado hasta aquí hay que sumar la preocupación que generan Windows y Android, los dos sistemas operativos más usados. El primero empezó a introducir agresivos mecanismos de telemetría en su versión 10 que han despertado la ira de los defensores de la privacidad.
El segundo, a pesar de emplear el kernel Linux y ser en un principio software libre, la inmensa mayoría de las implementaciones suministradas por los fabricantes de móviles son privativas y preinstalan los servicios de Google. Por otro lado, tampoco podemos olvidarnos del uso de una cuenta de administrador por defecto en Windows, un detalle que termina siendo toda una autopista para los actores maliciosos incluso en la actualidad.
Cambiar la cuenta que se usa por defecto en Windows por otra de usuario común es vital para reforzar la privacidad, pero a la hora de la verdad es algo que muy pocos hacen, así que, al final, termina siendo mejor emplear un sistema que ponga eso en orden desde el principio y no como una configuración a realizar después de la instalación del sistema. La privacidad y la seguridad son sectores al alza, y dejando de lado soluciones multiplataforma, es Linux el que está canalizando la demanda con sistemas especializados.
Esto no debería sorprender debido a su naturaleza modular y software libre, que permite adaptarlo para cualquier propósito, desde la privacidad y la seguridad hasta el gaming. Viendo que Linux es un sistema muy vinculado a la privacidad y la seguridad, vamos a mencionar siete distribuciones que abarcan una o las dos áreas a la vez.
-Tails
Empezamos por la que posiblemente sea la distribución Linux centrada en la privacidad más conocida que existe: Tails. Para quienes no lo sepan, su desarrollo y mantenimiento es responsabilidad del proyecto Tor, por lo que uno ya puede hacerse una idea aproximadamente de sus características y virtudes.
Tails deriva de Debian y se define a sí mismo como “el sistema amnésico de incógnito en vivo”, que traducido al inglés forma la frase “The Amnesic Incognito Live System”, del que se toman las iniciales para formar el nombre de la distribución. Aquí ya tenemos una de las principales características del sistema, y es el hecho de que solo funciona como medio en vivo, sin que, al menos oficialmente, pueda ser instalado localmente en la computadora.
El apostar por ser solo ser un medio en vivo tiene su razón, y es la de evitar dejar rastros en el ordenador sobre el que se ejecuta Tails, de ahí que el sistema se defina a sí mismo como amnésico. Como es obvio, pone a disposición y de forma fácil la conexión a la red Tor y preintala Tor Browser con el propósito de que el usuario pueda navegar por Internet de forma anónima.
Tails incluye una variedad de software que maneja cifrado de ficheros y de transmisiones de Internet, firma criptográfica y hashing, además de otras importantes funciones de seguridad. Todo eso está incorporado con el propósito de ofrecer la experiencia más anónima posible en diversos frentes y proteger así la privacidad del usuario.
-Qubes OS
Qubes OS es otra distribución Linux orientada a la seguridad y la privacidad. Está basada en Fedora y destaca por estar fuertemente centrada en el ailsamiento (sandboxing), definiéndose a sí misma como “un sistema operativo razonablemente seguro”. Ya se sabe, la seguridad al 100% no existe, así que es mejor ser realista en lugar de vender algo inalcanzable.
Qubes OS emplea uno de los recursos más conocidos para generar aislamiento: máquinas virtuales. Más concretamente, lo que hace es poner a disposición diversas máquinas virtuales con perfiles diferentes gestionadas por el hipervisor Xen. Si bien esto puede sonar como algo complejo, en términos prácticos lo que hace es precisamente facilitar al máximo el uso del hipersivor Xen para obtener un entorno de ailsamiento.
El uso de máquinas virtuales permite a los desarrolladores del sistema definir y limitar los recursos y los medios a los que puede acceder cada una, creando así un entorno aislado en el que se limita el impacto de los daños o perjuicios en caso de verse afectado por un incidente a nivel de ciberseguridad.
Los entornos virtualizados ejecutados en Qubes OS no tienen por qué ser instancias del mismo sistema operativo, sino que pueden estar basados en otras distribuciones como Debian, Whonix, Gentoo e incluso Microsoft Windows.
-Parrot OS
Parrot OS es una vieja conocida de Linux dentro del sector de la seguridad. Frente a las propuestas mencionadas hasta ahora, esta distribución basada en Debian está más centrada a la realización de pruebas de seguridad y pentesting e incorpora software que ayuda en tareas como las ingenierías inversas y las de forenses digitales.
Pero Parrot OS no solo incluye herramientas para poner a prueba la seguridad de otros sistemas, sino que también incorpora perfiles y configuraciones endurecidas para AppArmor (un módulo de seguridad para el kernel Linux rival de SELinux) y otras tecnologías de endurecimiento como capas propias de seguridad.
Como tecnologías orientadas a la privacidad nos encontramos con el archiconocido Tor u Onion Router para anonimizar el tráfico, Onion Share como utilidad para compartir ficheros a través de la red Tor y AnonSurf, una utilidad que canaliza las comunicaciones del sistema operativo a través de la red Tor para anonimizar todas las redes, aplicando, entre otras cosas, un refuerzo de la seguridad del navegador web y una anonimización de la IP pública del usuario.
-Kali Linux
Posiblemente el sistema operativo más conocido en el mundo del hacking. Kali Linux, que se basa en Debian y fue fundada por Offensive Security, es una distribución muy conocida en el sector de las pruebas forenses digitales y de penetración. Además de servir para un propósito similar al de Parrot OS, destaca por ofrecer una gran cantidad de variantes, soportando oficialmente las interfaces gráficas Xfce, GNOME y KDE Plasma; ofreciendo imágenes oficiales para VirtualBox y VMware. Soporta diversas arquitecturas, entre ellas la popular ARM, lo que obviamente abarca el popular mini-PC Raspberry Pi.
La popularidad de Kali Linux ha trascendido el ámbito de la seguridad, así que en los últimos tiempos ha ido dando pasos para ser un sistema que pueda ser instalado y usado de forma local y normal en un PC, tal y como se haría con distribuciones de propósito general como Ubuntu, Fedora, Debian, Arch Linux o Manjaro. Esto queda también reflejado en su acabado estético, cada vez más trabajado y atractivo. Lo que más sobresale de este sistema es el hecho de que suministra una gran cantidad de herramientas y aplicaciones para realizar pruebas de penetración y poner a prueba la seguridad de los sistemas.
-BlackArch
Y aquí el principal rival de Kali Linux. Como bien indica su nombre, se basa en Arch Linux y destaca por ofrecer cerca de 3.000 herramientas orientadas a la realización de pruebas de penetración y tareas forenses digitales. Además de distribuirse como un sistema operativo independiente, puede ser añadido como un repositorio no oficial en su distribución madre.
Al igual que Kali Linux, es posible utilizar BlackArch como medio en vivo o instalado localmente en el ordenador. El sistema operativo es servido a través de tres imágenes:
- Una de 4,4 gigabytes llamada Slim, que ofrece o más elemental a través de la propia ISO.
- Otra de 18GB llamada Full con todos los componentes (haría falta un pendrive de 32GB o un Blu Ray).
- Y una última netinst que ocupa tan solo 900 megabytes. Es importante tener en cuenta que este medio requiere de tener conexión a Internet para realizar el proceso de instalación.
BlackArch también pone a disposición una imagen OVA para su ejecución a través de soluciones de virtualización como VirtualBox, VMware y QEMU y una compilación para procesadores ARM.
-Whonix
Whonix viene con una seguridad endurecida orientada a ofrecer anonimato y que está basada en Kicksecure, una distribución Linux que destaca, y valga la redundancia, por ofrecer una seguridad endurecida. Se trata de un sistema operativo que consta de dos máquinas virtuales: una que hace la función de estación de trabajo (Workstation) y otra de pasarela (gateway) de Tor que actúa como proxy transparente. Todas las comunicaciones se realizan forzosamente a través de la red Tor.
Conceptualmente, lo que hace Whonix es poner a disposición un sistema operativo que se ejecuta dentro de otro en una máquina virtual. Dicho con otras palabras, está orientado a su uso en máquinas virtuales, dejando la libertad al usuario de emplear Windows, Linux o macOS como sistema anfitrión.
Entre sus características nos encontramos con el uso del mencionado Tor, una configuración del kernel endurecida a nivel de seguridad que sigue las recomendaciones de Kernel Self Protection Project (KSPP), un cortafuego avanzado y configurado para usar la red Tor, un modo en vivo para máquinas virtuales y la imposibilidad, según los responsables del proyecto, que la IP acabe filtrada.
En la actualidad hay dos variantes de Whonix. Una es para ser empleada sobre un sistema anfitrión, que puede ser Windows, macOS o Linux a través de soluciones como VirtualBox, QEMU, KVM y Xen. La segunda es que el sistema puede ser configurado directamente desde una instalación de Qubes OS.
-Septor
Septor es un sistema operativo basado en Debian y con KDE Plasma como escritorio que tiene como propósito servir un entorno para navegar por Internet de forma anónima. Para ello emplea un programa que funciona como servidor proxy llamado Privoxy y se apoya en la red Tor. Como navegador web emplea por defecto Tor Browser, OnionShare para la compartición anónima de ficheros y Riochet como mensajería instantánea anónima.
Como vemos, conceptualmente tiene similitudes con Tails, pero Septor sí permite ser instalado localmente en el ordenador, lo que obviamente hace que deje rastros en el equipo. Pese a ello, puede ser una opción válida para aquellos que busquen tener privacidad empleando el equipo de su casa.
Esto le ha permitido, frente a Windows y macOS, aportar soluciones más adaptadas y más transparentes que pueden ser auditadas de forma independiente y sin compromisos por un tercero. Debido a que a día de hoy el terreno está muy abonado, en los próximos años lo más probable es que veamos una evolución de los sistemas y soluciones existentes en lugar de la aparición de otros nuevos.