Si estás moderadamente familiarizado con tu computadora Windows, deberías considerar evitar las actualizaciones automáticas. Esta es la razón.

No hay duda de que necesitas mantener tu computadora Windows actualizada. En esta era de los EternalBlue y Shadow Brokers, Wikileaks y la CIA, evitar los parches de seguridad de Windows es como colgar un letrero en Internet que diga: "Patéame".

Dicho esto, no hay razón para que los usuarios experimentados de Windows sucumban al ritmo de la liberación de parches de Microsoft. La Actualización Automática de Windows es muy importante para tu anticuada tía Martha, quien teme que cualquier cosa que no sea jugar mahjong vaya a estropear su computadora. Sin embargo, la actualización automática es un riesgo innecesario para la gente que sabe utilizar Windows y se mantiene al día acerca de los desarrollos de Windows. Si eres suficientemente versado en el tema como para leer esto, deberías considerar seriamente la posibilidad de tomar la actualización de Windows en tus propias manos.

El problema de fondo: Microsoft aún no se las ha arreglado para saber cómo liberar parches para Windows confiables. Los Patch Tuesdays (Martes de Parches o Actualizaciones en Martes) se han convertido en campos de prueba masivos donde los gusanos se arrastran fuera de la madera y atacan de manera impredecible[1]. Existen algunas excepciones notables y no culpo a Microsoft por el caos; remendar el desastre que conocemos como Windows, en toda su variada gloria, es un problema NP-completo (es decir, es "técnicamente difícil"). Si todo el mundo se saltara la actualización automática, estaríamos en un lío profano. Pero la gente que está dispuesta y es capaz de leer las hojas de té no necesita exponerse a los riesgos de marchar en fila a ritmo de la Actualización Automática.

Tomemos en cuenta todos los problemas recientes que hemos visto aparecer a causa de las Actualizaciones automáticas

En marzo, Microsoft lanzó un parche de Windows 10 que afectó a su propio producto, Dynamics CRM 2011. En abril vimos:

detección de la versión fallida para actualizaciones bloqueadas, errores en las Herramientas de Eliminación de Software Malicioso (MSRT por sus siglas en inglés), un problema con Baseline Security Analyzer, fallas de sincronización de los servidores de actualización, más problemas con la actualización acumulativa Win10 1607 fallida, reinicios múltiples inusuales y confusión acerca de los parches .Net.

Esos problemas se solucionaron con el tiempo, pero luego en junio, Auto Update distribuyó 16 parches de Office fallidos; que en última instancia se arreglaron seis semanas más tarde. Se nos ofreció un parche de Internet Explorer que averió la funcionalidad de impresión especifica. Luego estuvo ese parche corrupto para el controlador de Surface Pro 4 de hace unas semanas, puesto a disposición a través de la Actualización Automática, que afectó la funcionalidad de Windows Hello.

Ninguno de dichos parches es particularmente debilitante para la mayoría de las personas, pero son un dolor de cuello para algunos y positivamente agonizante para los menos afortunados. Más concretamente, los problemas eran completamente evitables si sólo esperabas un par de semanas a que los informes de problemas disminuyeran y a que Microsoft remendara sus parches.

Este tipo de problemas ocurren casi todos los meses. Algunas personas piensan en ellos como "historias de miedo" y si trabajas para Microsoft, supongo que lo son. Pero si necesitas abrir un archivo adjunto en Outlook o desperdiciaste un par de horas tratando de averiguar por qué Windows Hello dejó de funcionar de repente, se vuelven importantes. Si tu empresa hace una extensión de Internet Explorer que necesita imprimir, tu medio de subsistencia está en juego. De manera rutinaria, Microsoft dice que este tipo de problemas afectan a un "pequeño número" de PC, pero el nivel de decibelios que alcanzan las quejas hace que eso parezca poco responsable.

Incluso si Microsoft no tiene la culpa (frecuentemente no la tiene), el dedo acusador resulta de poco consuelo para las personas a las que un conflicto extraño perturba sus días o llega a obstaculizar su trabajo.

Los Parches son importantes, pero no necesitas que se apliquen por Actualización Automática

Por supuesto que eventualmente tienes que aplicar los parches, solo que no quieres ser parte de la fase de pruebas beta que no te da remuneración.

Los dos brotes masivos recientes, WannaCry y NotPetya, ilustran el punto.

Microsoft remendó el agujero de seguridad utilizado por WannaCry en la actualización MS17-010, lanzada el 14 de marzo. El 15 de abril, Efrain Torres tuiteó un gráfico que explicaba cuáles agujeros de seguridad la actualización MS17-010 realmente bloqueaba, y para el 17 de abril se dio la alarma en toda la web de instalar la actualización MS17-010 de inmediato. La infección de WannaCry se desató el 12 de mayo. Si bloqueaste la actualización automática el 14 de marzo, tenías dos meses para instalar uno de los diez diferentes parches que incorporan MS17-010 o sufrir las consecuencias.

NotPetya es un animal diferente por completo. Los vectores de infección todavía se están tabulando y discutiendo, pero parece que el malware entró en la mayoría de las redes a través de una actualización infectada al paquete de contabilidad MEDoc y se extendió usando una variedad de técnicas, incluyendo las ya bloqueadas por MS17-010. NotPetya apareció por primera vez el 27 de junio. Una vez más, si estás siendo moderadamente diligente, hubo bastante tiempo para obtener las actualizaciones.

Sí, tienes que obtener las actualizaciones. Pero, no, no tienes que ofrecer tu computadora de uso diario al programa de prueba de Actualización Automática.

Ciertamente existen desventajas en el enfoque de esperar y mirar. En primer lugar, si Microsoft corrige una vulnerabilidad en Windows u Office y el malware parece aprovechar muy rápidamente un agujero de seguridad desconocido, a quienes aplacen las actualizaciones puede tomarlos desprevenidos.

Eso ha sucedido en el pasado, pero se ha vuelto poco común. Claro que hay actualizaciones para aplicarlas de inmediato: los parches de Windows Update para agujeros de seguridad con exploits conocidos; pero eso es un caballo de diferente color. Microsoft ha hecho un buen trabajo al ofuscar sus descripciones y prevenir que a su código de actualización se le aplique ingeniería inversa rápida. ¿Podría una ola masiva de ingeniería inversa de malware desplegarse en algún miércoles próximo? Sí, y si lo hace, la actualización automática salvará el día.

Como con todo lo relacionado con las actualizaciones de Windows, hay ventajas y desventajas. Tienes que sopesar la posibilidad de un gigante, veloz ataque de ingeniería inversa dirigido en contra de parches de seguridad mal programados. La historia muestra que el riesgo de actualizar a ciegas el primer día excede en gran medida el riesgo de retrasarlo durante un par de semanas.

Dejando fuera la Actualización Automática

Microsoft sabe que los usuarios experimentados frecuentemente preferiren optar por no participar en el juego de actualización automática. La compañía creó directivas de grupo en la actualización Windows 10 Anniversary Update (versión 1607) que retrasan las actualizaciones automáticas por un número específico de días. La actualización Win10 Creators Update (1703) hace que estas opciones estén disponibles en la aplicación de Configuración. Aunque la interacción de las políticas de grupo y los valores de configuración no son claras, al menos para mí, esto es un gran paso hacia adelante. En mi opinión, la habilidad de retrasar fácilmente las actualizaciones es la característica más importante de Win10 Creators Update.

Desafortunadamente, esos ajustes solo están disponibles para aquellos que ejecutan Win10 Pro y Enterprise, versión 1607 y o superiores. Los usuarios de Win10 Home y los usuarios Pro que no conocen el truco, son arrojados al fondo del foso genético de las pruebas beta de las actualizaciones automáticas, a menos que tomen medidas extraordinarias para boicotear el sistema. Afortunadamente, los usuarios de Windows 7 y 8.1 tienen herramientas listas a la mano para bloquear la actualización automática.

Así que la próxima vez que alguien te diga que tienes que activar la Actualización automática, tómate unos minutos antes de activar el interruptor.

Sí, sin duda, necesitas instalar las actualizaciones con regularidad. Sí, absolutamente, si no se puede confiar en tu anticuada tía Martha para tomar una decisión informada, su PC deberá unirse a los beta-testers que no reciben paga. Pero no, no es necesario engullir actualizaciones según el calendario de Microsoft. Un poco de diligencia y discernimiento puede proteger tu computadora de las amenazas que llegan de todas las direcciones.

[1] El autor está haciendo una analogía refiriéndose a los gusanos que salen de la madera comparándolos con los errores de programación (bugs) que se intenta corregir con las actualizaciones y que terminan descubriendo otras vulnerabilidades, aprovechando que en inglés se utiliza la palabra bug tanto para referirse a un error de programación como a un gusano que se arrastra en la tierra. N.T.