Los sistemas operativos más seguros
No existen sistemas operativos seguros al 100%, pero sí que hay algunos que están «reforzados» para aportar mayor seguridad. Evidentemente, eso no los excluye de poder tener alguna debilidad, o vulnerabilidades en su código, pero pueden ser una elección inteligente para aquellos que buscan un plus de blindaje.
Si estás buscando sistemas operativos más seguros para tus proyectos, aquí te dejo una buena lista con algunos de los que tienes a tu alcance…
- Hace unos años publiqué una serie de tres artículos idéntica a esta en el blog Fwhibbit, del que formaba parte en aquel entonces. Allí están los originales. Sin embargo, he querido recuperar este contenido, y actualizarlo un poco.
Para PCs y servidores
Si buscas sistemas operativos seguros para computadoras personales, estaciones de trabajo o para servidores, estas son las mejores alternativas…
Linux-based
Existen algunas distribuciones GNU/Linux y sistemas basados en el kernel Linux que están especialmente focalizados a mejorar la seguridad, privacidad y anonimato.
Deberías conocer algunos módulos y utilidades de seguridad que se pueden implementar como parte del kernel, o como elementos auxiliares, como el framework LSM (Linux Security Modules) que incluye los módulos AppArmor, SELinux, SMACK, Landlock y Tomoyo, así como los módulos de autenticación PAM, y otros sistemas de protección como PaX/grsecurity, RSBAC, StackGhost, extensiones de GCC (StackGuard, StackShield, ProPolice,…), OSB-Rastreator, KASLR, KARL, LIDS (Linux Intrusion Detection System), etc. También son interesantes proyectos como Mempo, CII (Core Infraestructure Initiative) de la Linux Foundation, etc.
Tin Hat Linux
THL es una distribución compacta y enfocada en la seguridad. Está desarrollada por The Shmoo Group, y destaca por integrar de forma predeterminada cifrado por GPG, creación de ficheros temporales en un ramdisk cifrado que se destruyen con cada inicio, Keystroke monitoring, GPG se ejecuta en segundo plano generando claves y documentos cifrados al azar para que sea más difíciles detectar cifrados reales u obtener claves por side channel attacks, Tinfoil mode para evitar que otros lean la pantalla por encima de tu hombro, etc.
Linux Kodachi
Linux Kodachi es una distro enfocada en la seguridad. Inicialmente basada en Debian y ahora en Ubuntu. Su principal objetivo es ser un sistema seguro, anti-forense y para respetar la privacidad y el anonimato. Viene con Tor, VPN y DNSCrypt por defecto. Además, incluye utilidades como Conky para ver información en tiempo real de la conexión a Internet.
Septor
Septor es una distribución serbia con un entorno preconfigurado para navegar de forma anónima. Se basa en Debian + KDE Plasma (existe una versión con LXQt) y usa Privoxy junto con Tor, OnionShare para compartir archivos anónimamente, y Ricochet para mensajería instantánea anónima.
TENS
TENS (Trusted End Node Security) es una distro usada por la Fuerza Aérea de Estados Unidos. Se ejecuta en modo Live, desde la RAM, para no dejar rastro y poder la navegación de forma segura. Su desarrollador es la Air Force y está evaluada por la NSA. Addemás, se encuentra en 3 ediciones diferentes: LPS public, LPS Public Deluxe y LPS Remote Access.
Dahlia OS
Es un sistema operativo que pretende fusionar lo mejor del sistema operativo Fuchsia de Google y lo mejor de Linux. Incluye una variante basada en el kernel Linux y otra en el microkernel Zircon. Posee una interfaz moderna, sencilla, y ligera, además de estar enfocado en mejorar la seguridad.
ChromiumOS/ChromeOS
ChromeOS no es una distro GNU/Linux, pero sí un sistema operativo basado en el kernel Linux. Ha sido desarrollado por Google, y cuenta con importantes mejoraspara ser una plataforma estable, robusta y segura. Entre las funciones para la seguridad se encuentra el uso de sandboxing, auto-actualizaciones, soporte para TPM (Truted Platform Module), etc.
Alpine Linux
Alpine Linux es una distribución ligera basada en la biblioteca musl libc y Busybox. Incluye parches PaX/grsecurity para el kernel Linux, además se emplea stack-smashing para compilar sus paquetes, protegiendo a éstos de desbordamientos de buffer.
Hardened Gentoo
Hardened Gentoo básicamente es una distro Gentoo endurecida con SELinux, RSBAC, PaX/grsecurity y la app Bartille Linux. Todo enfocado para ofrecer un sistema más seguro de forma predeterminada.
Openwall Project
OpenWall (Owl) es una distro diseñada especialmente para servidores y con la seguridad como prioridad. Por eso, incluye parches de seguridad y otras extensiones para endurecer este sistema. Se ha inspirado en proyectos como OpenBSD e incluye un sistema de cifrado basado en un algoritmo blowfish modificado para el password hasing.
Qubes OS
Qubes OS es una distribución basada en el hipervisor Xen y que puede aislar los procesos gracias a máquinas virtuales que evitan que los problemas de seguridad de los programas interfieran con el sistema operativo. Para ello, usa un dominio administrativo (Dom0) que es el que se usa para el sistema y que tiene acceso a los recursos de hardware. Por otro lado se usa un dominio de red aislado en una MV sin privilegios y el dominio de almacenamiento con varias MVs que ponen a salvo el espacio. Una AppVM sirve como hosting de aplicaciones de usuario. Tras ejecutar una aplicación se destruirá la máquina virtual.
Subgraph OS
Subgraph OS es otra distribución diseñada para ser segura incluso para usuarios sin conocimientos informáticos. Implementa por defecto parches de seguridad PaX/grsecurity, usa Tor, proxy, cifrado, aislamiento de procesos, etc.
TAILS
TAILS (The Amnesic Incognito Live System) es otro gran conocido, además de ser el sistema que usaba, supuestamente, Edward Snowden. Esta distro está pensada para blindar el anonimato y la navegación privada. Para no dejar rastro en la red, se arranca en modo Live y usa Tor, I2P, etc.
JonDo Live
JonDo es una distro Live basada en Debian y que incluye herramientas como Tor Onion Router, Mixmaster remailer, y clientes proxy para JonDonym. Su navegador web también está preconfigurado para respetar el anonimato. Incluye MAT para limpiar documentos, así como otras app como TorBrowser, TorChat, etc.
Whonix
Whonix está basada en Debian, y usa VirtualBox para crear máquinas virtuales sobre las que se ejecutan las aplicciones de forma aislada y desde las que se conecta a la red. Una MV llamada Whonix-Gateway usa Tor (o I2P) y actúa como gateway para la conexión y otra MV llamada Whonix-Workstation ejecuta las apps aisladas de la red y el sistema.
IprediaOS
IprediaOS está basada en Fedora y focalizada para mejorar la seguridad. Se puede descartar tanto con GNOME como con LXDE. Incluye mejoras para el anonimato y tiene cifrado del tráfico de red de forma predeterminada para navegación más transparente.
Security Onion
Security Onion se basa en Ubuntu, pero implementa algunas mejoras de seguridad como herramientas de detección de intrusos, monitorización de seguridad, auditoría de redes, etc. Por ejemplo, encontrarás paquetes preinstalados como Suricata, Snort, Sguil, Bro, Xplico, OSSEC, Squert, ELSA, NetworkMiner, etc.
BSD-based
Los sistemas operativos *BSD también son seguros, como Linux y otros *nix. Sin embargo, algunos destacan especialmente, como:
OpenBSD
OpenBSD es un sistema de código abierto y reforzado para ser muy seguro. Se creó como fork de NetBSD, revisando su código de forma rigurosa para evitar vulnerabilidades críticas, además de incluir herramientas útiles para la seguridad como ProPolice (protección de ejecución), ASLR, soporte PIE (Prosition-Independent Executable) para binarios, cifrado Blowfish, StackGhost, etc.
TrustedBSD
TrustedBSD está basado en FreeBSD, pero con la seguridad reforzada. Se ha puesto un gran énfasis en el hardening, usando parámetros recogidos en el Orange Book.
HardenedBSD
HardenedBSD es otro derivado de FreeBSD y orientado a mejorar la seguridad. Su kernel se ha revisado y se han agregado funciones y herramientas como PIE, Ptrace hardening, ASLR, etc.
Solaris
Solaris también es otro de los sistemas operativos *nix más maravillosos, pero si quieres un refuerzo frente al sistema base:
OpenSolaris/Solaris con Trusted Extensions
Trusted Extensions son unas extensiones que incluyen modelo MAC, RBAC, herramientas de audición, etc.
Más
Además de los anteriores sistemas operativos, también existen algunos proyectos que también se han diseñado con la seguridad como una prioridad:
Fuchsia OS
Fuchsia OS es un sistema operativo en tiempo real (RTOS) desarrollado por Google para ser el sustituto de ChromeOS y Android. Es de código abierto y se basa en un nuevo microkernel llamado Zircon (a su vez basado en Little Kernel). Además, se le ha agregado una capa de popularidad para poder ejecutar apps de GNU/Linux y Android sin modificar, como si fuesen nativas.
Collapse OS
Collapse OS, aunque no sea un sistema operativo específico para mejorar la seguridad, sí que ha sido diseñado para que funcione incluso en un mundo post-apocalíptico. Puede correr en máquinas con muy pocos recursos, compatible POSIX y con inspiración Unix.
CapROS
EROS (Extremely Reliable Operating System) es un sistema operativo desarrollado en 1991 por The EROS Group y con capacidades de seguridad mejoradas. En 2005 sería abandonado en favor de sucesores como CapROS (Capability-based Reliable Operating System) y CoyotOS.
seL4
seL4 fue diseñado en 2006 por NICTA. Se creó desde cero como un microkernel altamente seguro y fiable para satisfacer los requisitos de Common Criteria.
Sculpt OS
Sculpt OS es un sistema operativo de código abierto bajo el proyecto Genode, que busca crear un framework que consiste en una capa de abstracción del microkernel y del espacio de usuario. Está enfocado a mejorar la seguridad y para la trusted computing.
Para dispositivos móviles
Los dispositivos móviles también se han transformado en imprescindibles, por lo que sería interesante conocer también las opciones que tienes disponibles para ellos:
/e/OS
/e/OS es un sistema operativo basado en LineageOS diseñado para ser compatible con las apps de Android, pero respetando tu privacidad. Para ello, se ha limpiado de blobs binarios y se han elimiando los servicios y apps de GOogle (GMS), usando servicios de ubicación de Mozilla, F-Droid, y el proyecto MicroG como sustituto.
GrapheneOS
GrapheneOS es un sistema operativo gratis y de código abierto para móviles basado en Android y compatible con sus apps. Tiene seguridad reforzada, y se centra en la privacidad.
SilentOS / PrivateOS
SilentOS o PrivateOS es un sistema operativo derivado de Android y creado para terminales Blackphone de Silent Circle. El objetivo es mejorar la seguridad, privacidad y anonimato de los dispositivos Android. Incluye apps de mensajería instantánea segura, navegación anónima, actualizaciones frecuentes, funciones para desconectar de la red si no se trata de un hotspot seguro, etc.
CopperheadOS
CopperheadOS también se basa en Android, con parches de seguridad para el kernel PaX, así como OpenBSD malloc, y otras funciones de seguridad. Intentan estar protegidos contra vulnerabilidades zero-day, usar bibliotecas C endurecidas, firewall mejorado, sandboxing para apps y servicios, etc.
Replicant
Replicant es otro clon de Android que ha eliminado algunos componentes y APIs privadas del SDK de Google. Todo lo que tiene es de código abierto, así como eliminar los blogs binarios y sustituirlos por controladores libres. También se ha puesto empeño en mejorar la seguridad y la privacidad.
Otros
Además de los sistemas operativos anteriores, también existen algunos especiales para usos más específicos.
Para embebidos y firewall
Si buscas sistemas operativos seguros para embebidos o empotrados, o para implementar un firewall, entonces deberías atender a estos:
OpenWRT
OpenWRT es un sistema operativo/firmware basado en GNU/Linux especialmente pensado para ser el sistema base de dispositivos como routers.
ClearOS
ClearOS ha sido diseñado por Clear Foundation y se basa en Fedora. Está orientado para PYMES, siendo una sencilla opciónp ar amontar un firewall o servir como servidor. Además, incluye paquetes adicionales de seguridad.
IPCop
IPcop es una distro Linux capaz de transformar un equipo en un firewall o una VPN. Surgió como fork de SmoothWall. Ofrece una interfaz web sencilla para su gestión, gráficos en tiempo real para monitorizar, y necesita pocos recursos. Especialmente pensado para uso doméstico o pequeñas empresas.
Zentyal
Zentyal es otro sistema basado en Ubuntu para servidores y con la seguridad como objetivo. Una solución de correo electrónico y groupware de código abierto y segura. Compatible con Microsoft Exchange y ActiveSync. Incluye firewall, antispam y antivirus.
pfSense
pfSense se basa en FreeBSD y es uno de los firewall más seguros del mundo. Posee una sencilla interfaz web para su gestión, incluyendo funciones de balanceo de carga, NAT, State Table, VPN, servidor PPPoE, DNS, portal cautivo, DHCP, etc. Se pueden agregar módulos para implementar funciones extra como Proxy Squid, IMSpector, Snort, ClamAV, etc.
OpnSense
OpnSense, antes m0n0wall. También está basado en FreeBSD y permite montar un completo y seguro firewall. Incluye soporte para Ipsec, PPTP VPN, NAT, IPS, portal cautivo, etc.
Smallwall
Smallwall es un fork del m0n0wall que surgió tras el abandono de dicho proyecto. Se basa en él y ofrece características similares, solo que sigue actualizándose.
t1n1wall
t1n1wall también es otro dervivado de m0n0wall y con el objetivo de crear un sistema similar, seguro y que necesitase muy pocos recursos.
Smoothwall
Smoothwall es una distro GNU/Linux orientada para implementar un sistema firewall. No es demasiado completa en cuanto a funciones avanzadas, aunque es fácil de instalar y administrar.
IPFire
IPFire es una distro Linux endurecida, versátil, estable y pensada para implementar un firewall de fácil uso y alto rendimiento.
DD-WRT
DD-WRT es similar a OpenWRT, siendo un sistema y firmware libre para routers inalámbricos. Es una distro GNU/Linux embebida y con énfasis en su fácil administración.
Para almacenamiento
Para usar como dispositivos de storage o NAS tienes estos otros:
TrueNAS
TrueNAS anteriormente era conocidoc omo FreeNAS. Es uno de los más populares y seguros. Se basa en FreeBSD, siendo de código abierto y gratuito. Emplea OpenZFS como sistema de ficheros, soporta RAID, cifrado, y una interfaz web muy sencilla para su gestión.
OMV
OpenMedia Vault (OMV) es otra solución basada en Debian GNU/Linux, y está pensada para el hogar y pequeñas empresas. Es seguro, posee una sencilla interfaz web para su gestión, soporta configuraciones RAID, y admite varios sistemas de ficheros como ext4, Btrfs, JFS, y XFS. Además, incluye bastantes plugins para añadir funcionalidades.
Rockstor
Rockstor es otro NAS ligero para uso doméstico basado en Linux, concretamente en openSUSE Leap, de ahí su nombre de «rock», ya que esta distro sólida como una roca. Está orientado a Btrfs, y tiene un excelente soporte de multitud de protocolos, admite compresión, cifrado, configuraciones RAID, y posee una interfaz web intuitiva.
XigmaNAS
XigmaNAS es un sistema NAS de códigoa bierto basado en FreeBSD. Tiene un buen rendimiento y soporta ZFS, RAID, cifrado, CIFS/SMB, Active Directory, FTP, NFS, etc.
PetaSAN
PetaSAN es otro sistema activo de almacenamiento que ofrece una solución masiva y escalable de alto rendimiento. Está pensado para la nube moderna.
Openfiler
Openfiler es otra alternativa a las anteriores, con características SAN, NAS, y pensado para la alta disponiblidad.
ESOS
Enterprise Storage OS es una distro Linux que sirve como servidor de almacenamiento SAN. Soporta Btrfs, ext4 y XFS, así como RAID, etc.