Los documentos PDF son inseguros

Alejandro (a.k.a KZKG^Gaara)

8 minutos

 En una constante batalla por mantener limpios y seguros nuestros ordenadores, las amenazas y las vulnerabilidades se multiplican a una velocidad increíble. Cosas que antes no representaban peligro alguno, ahora se han convertido en herramientas ideales para quienes desarrollan software malicioso y buscan sacar provecho por medios ilegales. Una de esas cosas son los documentos en formato PDF. De acuerdo con un estudio hecho por la firma ScanSafe, el ochenta por ciento de las vulnerabilidades detectadas el año pasado están relacionadas con documentos PDF que contienen código malicioso.


Atrás ha quedado la época de un simple antivirus y una pequeña actualización. El software malicioso se ha convertido en una legión implacable que crece y muta cada día, encontrando nuevas formas de evadir los sistemas de seguridad, de aprovechar las vulnerabilidades y de llegar finalmente a nuestros ordenadores. Hace tiempo que Internet es la vía número uno de ingreso para estas pestes, por lo que una férrea defensa en materia de antivirus y firewall es indispensable. El eslabón más débil sigue siendo el usuario, pero en ciertas ocasiones el software tiene su grado de culpa. Los documentos en formato PDF deberían ser algo completamente inocuo, pero debido a las fallas de seguridad en su lector por defecto, se han transformado en una de las herramientas predilectas por los creadores de malware. De acuerdo a un reporte presentado por la empresa ScanSafe (subsidiaria de Cisco), el ochenta por ciento de las vulnerabilidades detectadas durante el año 2009 estuvieron relacionadas con algún documento PDF que contenía código malicioso, buscando aprovecharse de alguna de las fallas de seguridad que el software de Adobe (más específicamente, el Reader y el Acrobat) ha estado sufriendo.

Adobe intenta responder lo más rápido posible ante estas fallas con parches periódicos, pero los resultados son lapidarios. El primer cuatrimestre del año pasado comenzó con una tasa del 56 por ciento, para elevarse al sesenta por ciento, luego al setenta, y finalmente llegar al ochenta por ciento. Además de las fallas que posee el software de Adobe, es la popularidad de sus programas la que también atrae a los maleantes. La utilización del formato PDF es muy grande, y los usuarios necesitan un lector PDF a mano. Muchos programas que recurren a este formato preinstalan a Adobe Reader en el ordenador, y al ver que abre los archivos PDF sin inconvenientes, los usuarios lo utilizan sin considerar alternativas. Aún así, a pesar de la cantidad de vulnerabilidades que fueron detectadas, el procedimiento para protegerse sigue siendo el mismo: Mantener a Adobe Reader actualizado (en caso de que lo usen), desactivar JavaScript en su sección de configuración, no utilizarlo de forma integrada con el navegador web, y mirar muy de cerca el origen del archivo PDF.

Alternativas

No es malo considerar alternativas en lectores PDF. En plataformas Windows, Foxit Reader es uno de los más recomendados, pero SumatraPDF ha crecido mucho en los últimos tiempos, y se mantiene tan liviano como siempre.

PDF vs. DjVu

‘DjVu’, es una tecnología de compresión de imagen que viene a dar una apropiada respuesta a los requerimientos de desarrollo web para contenidos de imágenes de alta resolución, fotografías, y digitalización documentos en general.

visor de documentos DjVu

Teniendo para algunos casos un ratio de compresión de 5 a 10 veces superior que otros métodos (‘jpeg’ por ejemplo), y al trabajar por capas lo hace especialmente óptimo para integrarse en desarrollos web. A sido desarrollado por AT&T desde 1996 (detalles técnicos) .

Debido a sus excelentes características que le dan un amplio campo de uso, ‘DjVu’ es el formato de publicación que probablemente llegará a reemplazar, como nuevo standard, a nuestro más conocido ‘PDF’.

¿Si ‘DjVu’ es tan bueno… cómo que no lo conozco…?

Sería arduo justificar el por qué de la falta de difusión de las buenas opciones que hay dentro del Software Libre (como contraparte del software privativo, o -inclusive-, dentro de las tantas opciones libres), así que puedes dejar volar tu imaginación y elegir la que maś te guste -por cierto, hasta hace unos días para mí también era apenas conocido, había escuchado su nombre pero no recuerdo en qué contexto…-. Ya que ese no es el punto, y resumiendo, digamos que hay tantas buenas y excelentes herramientas que es dificil poder abarcar/conocer todo. Pero, si estás leyendo esto, la desinfornmación al respecto esperemos que quede superada, o te motive -al menos- a buscar mejores respuestas.

En cuanto al rendimiento de ‘DjVu’, puedes acceder a la información comparativa que siempre es mejor para tener una idea certera, para eso los benchtmarks que tanto deleitan a los informáticos. Para mí, con el sólo hecho de encontrar considerablemente disminuído el tamaño de los archivos, y mantenida la calidad en relación al formato PDF (una de las posibilidades de reemplazo), ya vale como opción. Más, si lees la comparativa ya sabés que no sólo se mantienen los valores sino que es mejor…

Usando DjVu

Bien, llegamos a la mejor parte, y en dónde el misterio se devela: Cómo implementar DjVu en nuestras computadoras!. Aquí lamentablemente tendremos que hacer una división: usuarios libres / usuarios bajo MS-Windows.

Si estás entre los primeros, osea usas ‘GNU/Linux’, puedes optar por ‘DjVuLibre’ -variante GPL para el formato ‘DjVu’-, que compila e instala no sólo las herramientas necesarias para trabajar con el mismo, sino además un plug-in para el navegador. No está demás recordar que siempre ten primero en cuenta los paquetes propios de tu distribución (algunos accesibles en la página de descarga), y si no los encuentras entonces sí descarga el código fuente (de paso darle una mirada a las dependencias nunca está demás).

Aunque sólo quieras tener acceso a este tipo de archivo, tienes que instalar igualmente el paquete anterior, ya que este cuenta con un visor (un tanto espartano pero sumamente funcional), y es el que además habilita el plug-in para el navegador.

Para usuarios MS-Windows, la opción más simple es instalar el plug-in para habilitar el lector ‘DjVu’ en el navegador, pudiendo así acceder a la lectura de este tipo de archivos (*). (Por supuesto MAC-Os X también tiene su versión).

Si quieres generarlos o migrar otros formatos, en la web oficial hay algunas herramientas, pero no he podido evaluarlas. (Son bienvenidos los comentarios con tu experiencia.)

Como decía anteriormente, en Software Libre hay muchas opciones… e ir al “filo” de las features y nuevas tecnologías, implementándolas en forma “incremental” es lo común… Pues es así que si usas Gnome, tal vez ya tengas un lector ‘DjVu’: ‘evince’ entre sus cualidades ofrece además como característica ser lector de djvu. Si estás en un entorno KDE, y si no quieres esperar hasta ‘KDE-4′, lo anterior te servirá. En caso contrario, ‘okular’ llamado a ser el manejador universal de documentos para KDE, y que requiere del anterior entorno, es la opción.

Finalmente, no menos importante es la posibilidad que ofrece la gente de ‘djvuzone.org’, de usar un convertidor de documentos en-línea: ‘Any2DjVu’

Como ves, no hay mucho “de lo técnico” que específicamente pueda comentar… si tienes estas inquietudes siempre puedes recurrir a las fuentes. Simplemente es dar una idea sobre esta tecnología de compresión de imágen que por sus cualidades va camino a imponerse (la pregunta sería: ¿cómo es que todavía no lo ha hecho…?), y que como característica no menos importante es Software Libre.

Pero… aún falta por hacer…

Si bien este formato cuenta con herramientas libres, hay diferencia en los codificadores y decodificadores: aunque funcionales y buenos, los mejores codificadores son ‘privativos’ siendo comercializados junto con una gama de servicios basados en esta tecnología, por la empresa ‘LizardTech Inc.’, y es por el tipo de licencia -que los hace incompatibles- que estos últimos no están incluídos en ‘DjVuLibre’. Se trata específicamente del driver de GhostScript ‘GSDjVu’, que actúa como complemento de ‘DjVuDigital’ (conversor de documentos PostScript y PDF a DjVu). AT&T ha sido quien a desarrollado el driver, pero inexplicablemente lo ha licenciado bajo ‘Common Public License Version V1.0′ (CPL), cosa que lo hace incompatible en cuanto a su redistribución bajo ‘GPL’ (licencia del resto de la suite ‘DjVuLibre’).
Puedes contactar a ‘AT&T Intellectual Property Licensing organization’ (licensing@att.com), para además de agradecerles por poner a dispocisión el código, pedirles que lo liberen bajo ‘GPL’ (o compatible), para que así sea apto para su redistribución. Argumentos con una detallada y completa explicación pueden encontrarse en ‘djvulibre.djvuzone.org’.

A modo de conclusión

Hay una reemplazo excelente para el formato de los archivos ‘PDF’, ya sea por motivos filosóficos en usar Software y Tecnologías Libres; o -sin más-, por mero rendimiento y sin pérdida de calidad, ganándose generalmente en la misma: el formato acorde es ‘DjVu’.

Implementarlo es fácil pudiendo elegir un simple plug-in, un lector de archivos que ya incorpore el acceso a estos formatos (‘evince’, en Gnome, por ej.), o instalar una suite de pequeñas herramientas si lo que se quiere es trabajar con/sobre el mismo, y para éllos nada mejor que ‘DjVuLibre’. Si lo que se necesita es mantener o migrar documentos personales, se puede optar por un conversor en-línea como ‘Any2DjVu’.


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.