El impacto mundial de Red Hat en la seguridad de Linux

Red Hat se basa en open source, una comunidad mundial descentralizada y transparente de ingenieros internacionales que priorizan la seguridad en la tecnología. Red Hat Enterprise Linux (RHEL) es el sistema operativo de confianza que utiliza más del 90 % de las empresas de la lista Fortune 500 y los clientes en más de 174 países. Esta reputación se gana en gran medida gracias a la confiabilidad y la estabilidad de RHEL, además de la larga trayectoria de Red Hat como contribuyente activo a proyectos open source. 

Sin embargo, hay un factor clave que a menudo se pasa por alto con respecto a Linux: su reputación de tener una mejor seguridad en comparación con otros sistemas operativos. Si bien esto es un hecho, no todas las distribuciones son iguales en términos de seguridad. A lo largo de los años, Red Hat ha realizado grandes inversiones para proporcionar a los usuarios de RHEL las funciones adecuadas para cumplir con los estrictos requisitos de seguridad global de su región y aprovechar las prácticas recomendadas de la manera más eficiente posible. En este artículo, hablaremos sobre algunas de estas inversiones y la manera en que influyen a los usuarios en tres áreas principales: investigación y planes; implementación y práctica, y soporte de seguridad posventa. 

Investigación y planes

Los requisitos de cumplimiento normativo son distintos en todo el mundo

El equipo de Red Hat, que cuenta con más de 100 oficinas en más de 40 países, comprende que hay muchas normativas de cumplimiento que difieren de un país a otro. Una parte importante de la etapa de investigación y planes de RHEL es analizar los requisitos que deben cumplir los usuarios hoy en día y cuáles deberán satisfacer en el futuro.

Por ejemplo, debido a que más datos se trasladan a la nube y aumenta el uso de la inteligencia artificial que requiere acceso a varios conjuntos de información, surgen nuevas preocupaciones sobre la soberanía de los datos. Al tener clientes en varios sectores y países, comprendemos los requisitos de control y certificación que enfrentan muchos usuarios. Si deseas obtener más información sobre las regulaciones específicas en todo el mundo, tenemos una página web que desglosa las validaciones y certificaciones de ciberseguridad para nuestros productos y servicios en los mercados internacionales, que seguirán evolucionando a medida que se introduzcan nuevas normativas.

Presta atención a los riesgos futuros

El equipo de productos siempre mira hacia adelante para identificar las amenazas que podrían surgir. Si los integrantes del equipo identifican una amenaza o un problema futuro, crean un documento llamado SBAR, que significa situación, antecedentes, evaluación, recomendación, y es una práctica que se desarrolló en el ejército.

Como su nombre lo indica, allí se explica la situación sobre la amenaza futura, lo que significa para nuestros clientes y el producto, la viabilidad de abordarla y los métodos para hacerlo, seguido de una recomendación sobre las acciones que debe llevar a cabo Red Hat. Fiel a la naturaleza open source de la empresa, el SBAR se comparte con todos en Red Hat para recopilar información adicional y colaborar en la recomendación más adecuada. Por ejemplo, en abril de 2022, ya había un plan interno elaborado en función de un SBAR escrito años antes sobre la forma en que el equipo de productos abordaría el desafío futuro de la criptografía post-cuántica. 

Prácticas de ciclo de vida de desarrollo seguro

La seguridad del software debe integrarse en el desarrollo desde el principio, y Red Hat sigue un enfoque que se ajusta directamente al marco de desarrollo de software seguro del Instituto Nacional de Estándares y Tecnología (NIST SSDF SP-800-218), así como las directrices de Open Web Application Security Project (OWASP) y varias normas ISO. Todos los integrantes del equipo de Red Hat Product Security no solo conocen las expectativas en torno al ciclo de vida de gestión de software seguro (SSML), sino que también saben seguir los planes y los procesos diseñados para respaldar esas prácticas. Para obtener más información sobre los diferentes aspectos del marco, explora el artículo de la base de conocimiento que escribió nuestro equipo de Product Security. 

Más control equivale a menos riesgo

Muchos proveedores participan en open source de solo lectura, lo que implica que ellos son los únicos que contribuyen a un proyecto. Hay varios ejemplos de esto tanto en las empresas de tecnología grandes como en las emergentes. Utilizan open source como embudo de marketing para lograr la adopción de la tecnología, pero no lo valoran por su verdadera capacidad: la innovación. Estas empresas quieren que uses su software open source, pero no aceptan parches ni contribuciones, a menos que se trate de documentación o grupos de usuarios. No les interesa tu código. Necesitan tener control total para poder ganar dinero con los proyectos comerciales que crearon a partir de la tecnología de open source.

En Red Hat, creemos que el verdadero poder de esta tecnología radica en el open source impulsado por la comunidad, donde el código se crea en un proceso de colaboración con un grupo internacional de contribuyentes. Esto solicita y selecciona las mejores y más brillantes ideas y, al mismo tiempo, respalda la larga tradición que surge de la frase de Linus Torvalds: "con muchas miradas, todos los errores saltarán a la vista". Cuando hay una comunidad sólida de colaboradores, si un participante tiene un mal comportamiento, cualquier otro puede informar ese problema al resto de la comunidad. Todos en la sala se observan atentamente. Si no se puede resolver el problema, cualquier participante puede tomar una copia del código y crear su propia versión alternativa del proyecto. 

Desde el punto de vista de la seguridad, la naturaleza abierta, transparente y colaborativa de la tecnología de open source impulsada por la comunidad reduce el riesgo de que los puntos vulnerables maliciosos terminen en el código. Cuando todos observan a los demás y todos revisan el código, es mucho más difícil introducir algo dañino, ya sea de manera intencional o accidental.

Implementación y práctica

Comienza a mejorar la seguridad en la etapa de diseño

Red Hat incorpora varias capas de mecanismos de seguridad dentro de sus productos, que incluyen las configuraciones de seguridad predeterminadas, los controles de acceso con privilegios mínimos y las revisiones rigurosas del código. Una de las funciones que les suele interesar a los usuarios es la capacidad de aprovechar los perfiles de seguridad que ofrecen configuraciones predeterminadas. Al seleccionar una línea de base de seguridad, los administradores pueden utilizar la automatización en la etapa de diseño para comprobar que la configuración cumpla con las prácticas recomendadas de cumplimiento normativo y de protección. Esto aumenta la eficiencia y también reduce el riesgo y la posibilidad de que se produzcan errores humanos durante tareas que, de otro modo, se llevarían a cabo manualmente después del diseño. 

Combina la seguridad con la eficiencia

En 2024, Red Hat presentó el modo de imagen, un nuevo método de implementación para RHEL que ofrece la plataforma como una imagen de contenedor. El modo adopta un enfoque original de los contenedores para diseñar, implementar y gestionar el sistema operativo. Además, proporciona un único flujo de trabajo para gestionar todo el entorno de TI, desde las aplicaciones hasta el sistema operativo fundamental, con las mismas herramientas y técnicas. Esto significa que ahora los equipos pueden usar las herramientas de seguridad de contenedores que ya conocen, desde el análisis y la validación, hasta la criptografía y la certificación, además de los elementos básicos del sistema operativo, lo que simplifica sus trabajos.

Proporciona a los usuarios información sobre la seguridad

Con las nuevas amenazas que aparecen todos los días y las exigencias de los equipos de TI que crecen constantemente, Red Hat Insights se diseñó para ayudar a nuestros clientes a identificar sus propios problemas e informarlos, así como para clasificar los riesgos en función de su impacto en la empresa e implementar las tareas de automatización correspondientes. Insights cuenta con herramientas de análisis de seguridad que te permiten gestionar los riesgos de manera más efectiva. Puedes analizar los sistemas en busca de puntos vulnerables y exposiciones comunes (CVE), recopilar información y acceder a las guías de corrección desde una sola interfaz. 

El servicio también te ayuda a priorizar las acciones de resolución según la gravedad, el tipo de riesgo y el impacto del cambio. Te permite anticipar mejor los problemas al auditar el cumplimiento normativo con las políticas de OpenSCAP, así como corregir los sistemas que infringen las normas y generar informes de cumplimiento con mayor facilidad. Además, puedes usar Insights para detectar rápidamente las firmas de malware activas en los sistemas del entorno de nube híbrida.

Soporte de seguridad posventa

Red Hat es un partner de seguridad internacional de confianza

La seguridad es un aspecto fundamental de Red Hat, por lo que trabajamos en programas de divulgación responsable coordinada liderados por el sector. Tenemos una larga trayectoria de participación en estas organizaciones y de trabajo con partners internacionales y nacionales para el intercambio de datos de seguridad y la colaboración.

Red Hat es una de las pocas empresas en todo el mundo que cumple un papel especial como participante raíz del programa CVE, y se asocia con CVE.org para identificar, definir y catalogar los puntos vulnerables de ciberseguridad que están disponibles para todo el público. Además de cumplir la función de raíz, es una autoridad de numeración de CVE (CNA), lo que significa que está autorizada por el programa para asignar números de identificación a los puntos vulnerables y publicar registros.

Para nuestros usuarios, esto significa que cuando se les avise sobre un nuevo CVE, pueden estar tranquilos al saber que un equipo de especialistas en seguridad que conoce RHEL a la perfección participó activamente en la evaluación de puntos vulnerables. Cuando estos afectaron a los productos de Red Hat, el equipo ya estaba investigando los pasos necesarios para solucionarlos.

Por último, al prestar servicios a las comunidades open source de las que dependemos y con las que interactuamos, Red Hat también es un CNA de último recurso, lo que significa que podemos asignar CVE y publicarlos para los puntos vulnerables que afectan a los proyectos open source que no están cubiertos por otro CNA.

Transparencia en torno a la seguridad, los puntos vulnerables y la corrección

Aunque obviamente nos enfocamos en RHEL, cuando se trata de seguridad, Red Hat comparte información sobre la seguridad y los puntos vulnerables públicamente de manera activa. La transparencia está en nuestro ADN, y parte de la visión del equipo de Product Security es proporcionar información de calidad que se necesita para reducir los riesgos de seguridad y privacidad, así como el acceso para hacerlo.

Esto se extiende más allá de nuestros clientes: a la colaboración de la comunidad para los parches y estrategias de reducción de riesgos para todos los usuarios de Linux. Al ser una comunidad, debemos trabajar para mantener la reputación de Linux como uno de los sistemas operativos más seguros del mundo. Como se mencionó anteriormente, esto también se extiende a nuestro código, que es abierto. Todos tienen la libertad de inspeccionarlo, auditarlo, revisarlo y contribuir a él.

Participamos con colegas de todo el mundo en el desarrollo de prácticas de seguridad open source, que proporcionan un marco sólido para que el sector internacional lo adopte y lo desarrolle. Esta práctica no es nueva, y en los últimos 30 años esto se evidencia en nuestro apoyo para la creación de OpenSCAP, nuestra participación en organizaciones como OpenSSF y CoSAI y nuestras contribuciones a OSV.dev. 

Los próximos 30 años

Si bien quizás no se la considere una empresa de seguridad en el sentido tradicional, durante décadas Red Hat se ha centrado en este aspecto, tomándolo como base y facilitándolo. El mundo actual es diferente al de 1993, cuando Marc Ewing creó por primera vez la distribución de Linux denominada Red Hat Linux. Nadie sabe con seguridad cómo serán los próximos 30 años, pero podemos estar seguros de que seguiremos necesitando un enfoque muy sólido para los requisitos de seguridad internacional. 

Continuaremos:

• investigando y creando planes necesarios para que nuestros productos satisfagan las necesidades de seguridad de nuestros clientes en todo el mundo;
• diseñando nuestros productos de manera que facilite la aplicación de la seguridad en la etapa de diseño para aumentar la eficiencia y reducir los riesgos;
• respaldando nuestra base y a la comunidad internacional de Linux para solucionar las amenazas mediante nuestra participación activa en iniciativas centradas en la seguridad, como el programa CVE.

Nos apasiona Linux y proteger a nuestra comunidad. Esperamos trabajar contigo en esta misión. 

Infórmate sobre la seguridad open source suscribiéndote a nuestro blog.