ArchiTecnologia

Aprendizaje abierto. Conocimiento libre.

ArchiTecnologia
AsesoramientoConsejosLinuxSeguridad

Los sistemas operativos más seguros

No existen sistemas operativos seguros al 100%, pero sí que hay algunos que están «reforzados» para aportar mayor seguridad. Evidentemente, eso no los excluye de poder tener alguna debilidad, o vulnerabilidades en su código, pero pueden ser una elección inteligente para aquellos que buscan un plus de blindaje.

Si estás buscando sistemas operativos más seguros para tus proyectos, aquí te dejo una buena lista con algunos de los que tienes a tu alcance

  • Hace unos años publiqué una serie de tres artículos idéntica a esta en el blog Fwhibbit, del que formaba parte en aquel entonces. Allí están los originales. Sin embargo, he querido recuperar este contenido, y actualizarlo un poco.

Para PCs y servidores

Si buscas sistemas operativos seguros para computadoras personales, estaciones de trabajo o para servidores, estas son las mejores alternativas…

Linux-based

Existen algunas distribuciones GNU/Linux y sistemas basados en el kernel Linux que están especialmente focalizados a mejorar la seguridad, privacidad y anonimato.

Deberías conocer algunos módulos y utilidades de seguridad que se pueden implementar como parte del kernel, o como elementos auxiliares, como el framework LSM (Linux Security Modules) que incluye los módulos AppArmor, SELinux, SMACK, Landlock y Tomoyo, así como los módulos de autenticación PAM, y otros sistemas de protección como PaX/grsecurity, RSBAC, StackGhost, extensiones de GCC (StackGuard, StackShield, ProPolice,…), OSB-Rastreator, KASLR, KARL, LIDS (Linux Intrusion Detection System), etc. También son interesantes proyectos como Mempo, CII (Core Infraestructure Initiative) de la Linux Foundation, etc.

Tin Hat Linux

THL es una distribución compacta y enfocada en la seguridad. Está desarrollada por The Shmoo Group, y destaca por integrar de forma predeterminada cifrado por GPG, creación de ficheros temporales en un ramdisk cifrado que se destruyen con cada inicio, Keystroke monitoring, GPG se ejecuta en segundo plano generando claves y documentos cifrados al azar para que sea más difíciles detectar cifrados reales u obtener claves por side channel attacks, Tinfoil mode para evitar que otros lean la pantalla por encima de tu hombro, etc.

Descargar THL

Linux Kodachi

Linux Kodachi es una distro enfocada en la seguridad. Inicialmente basada en Debian y ahora en Ubuntu. Su principal objetivo es ser un sistema seguro, anti-forense y para respetar la privacidad y el anonimato. Viene con Tor, VPN y DNSCrypt por defecto. Además, incluye utilidades como Conky para ver información en tiempo real de la conexión a Internet.

Descargar Kodachi

Septor

Septor es una distribución serbia con un entorno preconfigurado para navegar de forma anónima. Se basa en Debian + KDE Plasma (existe una versión con LXQt) y usa Privoxy junto con Tor, OnionShare para compartir archivos anónimamente, y Ricochet para mensajería instantánea anónima.

Descargar Septor

TENS

TENS (Trusted End Node Security) es una distro usada por la Fuerza Aérea de Estados Unidos. Se ejecuta en modo Live, desde la RAM, para no dejar rastro y poder la navegación de forma segura. Su desarrollador es la Air Force y está evaluada por la NSA. Addemás, se encuentra en 3 ediciones diferentes: LPS public, LPS Public Deluxe y LPS Remote Access.

Descargar TENS

Dahlia OS

Es un sistema operativo que pretende fusionar lo mejor del sistema operativo Fuchsia de Google y lo mejor de Linux. Incluye una variante basada en el kernel Linux y otra en el microkernel Zircon. Posee una interfaz moderna, sencilla, y ligera, además de estar enfocado en mejorar la seguridad.

Descargar DahliaOS

ChromiumOS/ChromeOS

ChromeOS no es una distro GNU/Linux, pero sí un sistema operativo basado en el kernel Linux. Ha sido desarrollado por Google, y cuenta con importantes mejoraspara ser una plataforma estable, robusta y segura. Entre las funciones para la seguridad se encuentra el uso de sandboxing, auto-actualizaciones, soporte para TPM (Truted Platform Module), etc.

Descargar Chrome

Alpine Linux

Alpine Linux es una distribución ligera basada en la biblioteca musl libc y Busybox. Incluye parches PaX/grsecurity para el kernel Linux, además se emplea stack-smashing para compilar sus paquetes, protegiendo a éstos de desbordamientos de buffer.

Descargar Alpine

Hardened Gentoo

Hardened Gentoo básicamente es una distro Gentoo endurecida con SELinux, RSBAC, PaX/grsecurity y la app Bartille Linux. Todo enfocado para ofrecer un sistema más seguro de forma predeterminada.

Descargar Hardened Gentoo

Openwall Project

OpenWall (Owl) es una distro diseñada especialmente para servidores y con la seguridad como prioridad. Por eso, incluye parches de seguridad y otras extensiones para endurecer este sistema. Se ha inspirado en proyectos como OpenBSD e incluye un sistema de cifrado basado en un algoritmo blowfish modificado para el password hasing.

Descargar Owl

Qubes OS

Qubes OS es una distribución basada en el hipervisor Xen y que puede aislar los procesos gracias a máquinas virtuales que evitan que los problemas de seguridad de los programas interfieran con el sistema operativo. Para ello, usa un dominio administrativo (Dom0) que es el que se usa para el sistema y que tiene acceso a los recursos de hardware. Por otro lado se usa un dominio de red aislado en una MV sin privilegios y el dominio de almacenamiento con varias MVs que ponen a salvo el espacio. Una AppVM sirve como hosting de aplicaciones de usuario. Tras ejecutar una aplicación se destruirá la máquina virtual.

Descargar Qubes OS

Subgraph OS

Subgraph OS es otra distribución diseñada para ser segura incluso para usuarios sin conocimientos informáticos. Implementa por defecto parches de seguridad PaX/grsecurity, usa Tor, proxy, cifrado, aislamiento de procesos, etc.

Descargar Subgraph OS

TAILS

TAILS (The Amnesic Incognito Live System) es otro gran conocido, además de ser el sistema que usaba, supuestamente, Edward Snowden. Esta distro está pensada para blindar el anonimato y la navegación privada. Para no dejar rastro en la red, se arranca en modo Live y usa Tor, I2P, etc.

Descargar Tails

JonDo Live

JonDo es una distro Live basada en Debian y que incluye herramientas como Tor Onion Router, Mixmaster remailer, y clientes proxy para JonDonym. Su navegador web también está preconfigurado para respetar el anonimato. Incluye MAT para limpiar documentos, así como otras app como TorBrowser, TorChat, etc.

Descargar JonDo

Whonix

Whonix está basada en Debian, y usa VirtualBox para crear máquinas virtuales sobre las que se ejecutan las aplicciones de forma aislada y desde las que se conecta a la red. Una MV llamada Whonix-Gateway usa Tor (o I2P) y actúa como gateway para la conexión y otra MV llamada Whonix-Workstation ejecuta las apps aisladas de la red y el sistema.

Descargar Whonix

IprediaOS

IprediaOS está basada en Fedora y focalizada para mejorar la seguridad. Se puede descartar tanto con GNOME como con LXDE. Incluye mejoras para el anonimato y tiene cifrado del tráfico de red de forma predeterminada para navegación más transparente.

Security Onion

Security Onion se basa en Ubuntu, pero implementa algunas mejoras de seguridad como herramientas de detección de intrusos, monitorización de seguridad, auditoría de redes, etc. Por ejemplo, encontrarás paquetes preinstalados como Suricata, Snort, Sguil, Bro, Xplico, OSSEC, Squert, ELSA, NetworkMiner, etc.

Descargar Security Onion

BSD-based

Los sistemas operativos *BSD también son seguros, como Linux y otros *nix. Sin embargo, algunos destacan especialmente, como:

OpenBSD

OpenBSD es un sistema de código abierto y reforzado para ser muy seguro. Se creó como fork de NetBSD, revisando su código de forma rigurosa para evitar vulnerabilidades críticas, además de incluir herramientas útiles para la seguridad como ProPolice (protección de ejecución), ASLR, soporte PIE (Prosition-Independent Executable) para binarios, cifrado Blowfish, StackGhost, etc.

Descargar OpenBSD

TrustedBSD

TrustedBSD está basado en FreeBSD, pero con la seguridad reforzada. Se ha puesto un gran énfasis en el hardening, usando parámetros recogidos en el Orange Book.

Descargar TrustedBSD

HardenedBSD

HardenedBSD es otro derivado de FreeBSD y orientado a mejorar la seguridad. Su kernel se ha revisado y se han agregado funciones y herramientas como PIE, Ptrace hardening, ASLR, etc.

Descargar HardenedBSD

Solaris

Solaris también es otro de los sistemas operativos *nix más maravillosos, pero si quieres un refuerzo frente al sistema base:

OpenSolaris/Solaris con Trusted Extensions

Trusted Extensions son unas extensiones que incluyen modelo MAC, RBAC, herramientas de audición, etc.

Trusted Extensions

Más

Además de los anteriores sistemas operativos, también existen algunos proyectos que también se han diseñado con la seguridad como una prioridad:

Fuchsia OS

Fuchsia OS es un sistema operativo en tiempo real (RTOS) desarrollado por Google para ser el sustituto de ChromeOS y Android. Es de código abierto y se basa en un nuevo microkernel llamado Zircon (a su vez basado en Little Kernel). Además, se le ha agregado una capa de popularidad para poder ejecutar apps de GNU/Linux y Android sin modificar, como si fuesen nativas.

Descargar Fuchsia OS

Collapse OS

Collapse OS, aunque no sea un sistema operativo específico para mejorar la seguridad, sí que ha sido diseñado para que funcione incluso en un mundo post-apocalíptico. Puede correr en máquinas con muy pocos recursos, compatible POSIX y con inspiración Unix.

Descargar Collapse OS

CapROS

EROS (Extremely Reliable Operating System) es un sistema operativo desarrollado en 1991 por The EROS Group y con capacidades de seguridad mejoradas. En 2005 sería abandonado en favor de sucesores como CapROS (Capability-based Reliable Operating System) y CoyotOS.

Descargar CapROS

seL4

seL4 fue diseñado en 2006 por NICTA. Se creó desde cero como un microkernel altamente seguro y fiable para satisfacer los requisitos de Common Criteria.

Descargar seL4

Sculpt OS

Sculpt OS es un sistema operativo de código abierto bajo el proyecto Genode, que busca crear un framework que consiste en una capa de abstracción del microkernel y del espacio de usuario. Está enfocado a mejorar la seguridad y para la trusted computing.

Descargar Sculpt

Para dispositivos móviles

Los dispositivos móviles también se han transformado en imprescindibles, por lo que sería interesante conocer también las opciones que tienes disponibles para ellos:

/e/OS

/e/OS es un sistema operativo basado en LineageOS diseñado para ser compatible con las apps de Android, pero respetando tu privacidad. Para ello, se ha limpiado de blobs binarios y se han elimiando los servicios y apps de GOogle (GMS), usando servicios de ubicación de Mozilla, F-Droid, y el proyecto MicroG como sustituto.

Descargar /e/OS

GrapheneOS

GrapheneOS es un sistema operativo gratis y de código abierto para móviles basado en Android y compatible con sus apps. Tiene seguridad reforzada, y se centra en la privacidad.

Descargar GrapheneOS

SilentOS / PrivateOS

SilentOS o PrivateOS es un sistema operativo derivado de Android y creado para terminales Blackphone de Silent Circle. El objetivo es mejorar la seguridad, privacidad y anonimato de los dispositivos Android. Incluye apps de mensajería instantánea segura, navegación anónima, actualizaciones frecuentes, funciones para desconectar de la red si no se trata de un hotspot seguro, etc.

Descargar PrivateOS

CopperheadOS

CopperheadOS también se basa en Android, con parches de seguridad para el kernel PaX, así como OpenBSD malloc, y otras funciones de seguridad. Intentan estar protegidos contra vulnerabilidades  zero-day, usar bibliotecas C endurecidas, firewall mejorado, sandboxing para apps y servicios, etc.

Descargar CopperheadOS

Replicant

Replicant es otro clon de Android que ha eliminado algunos componentes y APIs privadas del SDK de Google. Todo lo que tiene es de código abierto, así como eliminar los blogs binarios y sustituirlos por controladores libres. También se ha puesto empeño en mejorar la seguridad y la privacidad.

Descargar Replicant

Otros

Además de los sistemas operativos anteriores, también existen algunos especiales para usos más específicos.

Para embebidos y firewall

Si buscas sistemas operativos seguros para embebidos o empotrados, o para implementar un firewall, entonces deberías atender a estos:

OpenWRT

OpenWRT es un sistema operativo/firmware basado en GNU/Linux especialmente pensado para ser el sistema base de dispositivos como routers.

Descargar OpenWRT

ClearOS

ClearOS ha sido diseñado por Clear Foundation y se basa en Fedora. Está orientado para PYMES, siendo una sencilla opciónp ar amontar un firewall o servir como servidor. Además, incluye paquetes adicionales de seguridad.

Descargar ClearOS

IPCop

IPcop es una distro Linux capaz de transformar un equipo en un firewall o una VPN. Surgió como fork de SmoothWall. Ofrece una interfaz web sencilla para su gestión, gráficos en tiempo real para monitorizar, y necesita pocos recursos. Especialmente pensado para uso doméstico o pequeñas empresas.

Descargar IPCop

Zentyal

Zentyal es otro sistema basado en Ubuntu para servidores y con la seguridad como objetivo. Una solución de correo electrónico y groupware de código abierto y segura. Compatible con Microsoft Exchange y ActiveSync. Incluye firewall, antispam y antivirus.

Descargar Zentyal

pfSense

pfSense se basa en FreeBSD y es uno de los firewall más seguros del mundo. Posee una sencilla interfaz web para su gestión, incluyendo funciones de balanceo de carga, NAT, State Table, VPN, servidor PPPoE, DNS, portal cautivo, DHCP, etc. Se pueden agregar módulos para implementar funciones extra como Proxy Squid, IMSpector, Snort, ClamAV, etc.

Descargar pfSense

OpnSense

OpnSense, antes m0n0wall. También está basado en FreeBSD y permite montar un completo y seguro firewall. Incluye soporte para Ipsec, PPTP VPN, NAT, IPS, portal cautivo, etc.

Descargar OpnSense

Smallwall

Smallwall es un fork del m0n0wall que surgió tras el abandono de dicho proyecto. Se basa en él y ofrece características similares, solo que sigue actualizándose.

Descargar Smallwall

t1n1wall

t1n1wall también es otro dervivado de m0n0wall y con el objetivo de crear un sistema similar, seguro y que necesitase muy pocos recursos.

Descargar t1n1wall

Smoothwall

Smoothwall es una distro GNU/Linux orientada para implementar un sistema firewall. No es demasiado completa en cuanto a funciones avanzadas, aunque es fácil de instalar y administrar.

Descargar Smoothwall

IPFire

IPFire es una distro Linux endurecida, versátil, estable y pensada para implementar un firewall de fácil uso y alto rendimiento.

Descargar IPFire

DD-WRT

DD-WRT es similar a OpenWRT, siendo un sistema y firmware libre para routers inalámbricos. Es una distro GNU/Linux embebida y con énfasis en su fácil administración.

Descargar DD-WRT

Para almacenamiento

Para usar como dispositivos de storage o NAS tienes estos otros:

TrueNAS

TrueNAS anteriormente era conocidoc omo FreeNAS. Es uno de los más populares y seguros. Se basa en FreeBSD, siendo de código abierto y gratuito. Emplea OpenZFS como sistema de ficheros, soporta RAID, cifrado, y una interfaz web muy sencilla para su gestión.

Descargar TrueNAS

OMV

OpenMedia Vault (OMV) es otra solución basada en Debian GNU/Linux, y está pensada para el hogar y pequeñas empresas. Es seguro, posee una sencilla interfaz web para su gestión, soporta configuraciones RAID, y admite varios sistemas de ficheros como ext4, Btrfs, JFS, y XFS. Además, incluye bastantes plugins para añadir funcionalidades.

Descargar OMV

Rockstor

Rockstor es otro NAS ligero para uso doméstico basado en Linux, concretamente en openSUSE Leap, de ahí su nombre de «rock», ya que esta distro sólida como una roca. Está orientado a Btrfs, y tiene un excelente soporte de multitud de protocolos, admite compresión, cifrado, configuraciones RAID, y posee una interfaz web intuitiva.

Descargar Rockstor

XigmaNAS

XigmaNAS es un sistema NAS de códigoa bierto basado en FreeBSD. Tiene un buen rendimiento y soporta ZFS, RAID, cifrado, CIFS/SMB, Active Directory, FTP, NFS, etc.

Descargar XigmaNAS

PetaSAN

PetaSAN es otro sistema activo de almacenamiento que ofrece una solución masiva y escalable de alto rendimiento. Está pensado para la nube moderna.

Descargar PetaSAN

Openfiler

Openfiler es otra alternativa a las anteriores, con características SAN, NAS, y pensado para la alta disponiblidad.

Descargar Openfiler

ESOS

Enterprise Storage OS es una distro Linux que sirve como servidor de almacenamiento SAN. Soporta Btrfs, ext4 y XFS, así como RAID, etc.

Descargar ESOS

Isaac

Apasionado de la computación y la tecnología en general. Siempre intentando desaprender para apreHender.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Si continuas utilizando este sitio aceptas el uso de cookies. más información

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar