Según el informe más reciente de BeyondTrust la cuenta de administrador de Windows contribuye a que el impacto de las vulnerabilidades críticas sea mayor. Si los usuarios y las organizaciones utilizan en cuentas con menores privilegios administrativos para el uso habitual del ordenador, y sólo recurriesen a la cuenta de administrador cuando de verdad fuese necesario, el impacto de todas las vulnerabilidades descendería en un 69% –cifra que se eleva hasta el 92% en el caso de las más críticas-. Tal diferencia se debe a que la mayoría del malware requiere de permisos de administrador para propagarse eficazmente.
Para la elaboración de este estudio, BeyondTrust analizó todas las vulnerabilidades publicadas por Microsoft en 2008 y el modo en que incidían en el sistema. Para el uso habitual de un ordenador, no es necesario utilizar una cuenta de administrador, por lo que conviene recurrir a ellas únicamente para efectuar modificaciones importantes en el sistema, y no sistemáticamente como suele suceder.
La consultora Gartner, en un reciente informe de diciembre de 2008, asegura que las organizaciones que desbloquean el uso de todos sus PCs se enfrentan a mayores costes de mantenimiento, y recomienda que los privilegios de usuario vayan asociados a necesidades específicas y no se apliquen de manera general. El coste de gestionar un ordenador en el que el usuario es administrador asciende a 4.650 dólares, mientras que el coste total de propiedad cuando el usuario no dispone de tales privilegios es de 3.413 dólares (un ahorro de 1.237 dólares por cada PC).
Asimismo, Gartner destaca que aquellos usuarios con niveles de administración insuficientes también suponen un problema, pues tendrán que recurrir en ocasiones puntuales al service desk, con la consiguiente pérdida de productividad que ello provoca. Por ello, la consultora recomienda clasificar a los usuarios y crear políticas que describan qué derechos y niveles de soporte han de tener en cada caso.
Nuestra opinión es que Microsoft debe resolver estas vulnerabilidades sin buscar otro culpable que ellos mismos y lanzar código abierto en un windows de prueba para ver el desempeño.
