La instalación de software en la mayoría de los sistemas operativos modernos se ha vuelto tan fácil que probablemente podrías hacerlo mientras duermes. Por ello, muchas personas pasan por alto algunos elementos del proceso de instalación.
La ventana que aparece, pidiéndole que ejecute el instalador, es uno de estos aspectos que se pasan por alto fácilmente. A primera vista, no contiene nada que no conozcas, pero podría ser así. Una sola línea de texto hace que la ventana merezca una segunda mirada, y es la “firma”.
Los instaladores no están firmados en el sentido tradicional, como un documento legal, pero algunos lo están a su manera. Si alguna vez has visto esto y te lo has preguntado, o si no te has fijado mucho hasta ahora, te explicamos qué pasa.
¿Por qué?
Microsoft considera que la firma de los instaladores de software puede poner de manifiesto los programas que han sido manipulados. Si están firmados, queda claro de dónde proceden, y cualquier problema puede ser denunciado a los desarrolladores, si es necesario.
La tranquilidad también puede considerarse una razón, ya que muchos usuarios se sentirán más cómodos instalando software de una empresa o desarrollador reconocible. El navegador web Mozilla Firefox está firmado por la Corporación Mozilla, lo que tiene sentido y proporciona un grado de legitimidad que “Desconocido” no tiene.
¿Cómo?
La herramienta de Microsoft para firmar los instaladores de software, llamada imaginativamente “SignTool.exe”, funciona con una gran variedad de archivos, incluidos los instaladores .exe y .msi. Si no está seguro de las diferencias entre estos dos formatos de instalador, las hemos tratado en un artículo reciente.
SignTool.exe funciona como una pieza de software independiente, pero el propio sitio web de Microsoft demuestra su uso con un símbolo del sistema de Visual Studio y un certificado de firma preexistente. El certificado no se genera a través de otro comando de Visual Studio, lo que requiere otros pasos.
Si no utiliza Visual Basic, seguirá necesitando un certificado de firma de código junto con SignTool.exe de Microsoft. Las empresas que aparecen en esta lista mantenida por Microsoft proporcionan certificados en formato estándar o de validación extendida (EV), que pueden utilizarse junto con una cuenta del Centro de desarrollo de Microsoft. Algunas acciones requieren un certificado EV, aunque la mayoría pueden realizarse con un certificado estándar.
Un certificado estándar requiere un tiempo de procesamiento más corto y, por tanto, su obtención es menos costosa. El nivel de validación de la identidad no es tan alto como el de un certificado EV, y no es compatible con la firma de código LSA o UEFI, como afirma Microsoft.
Una vez decidido el tipo de certificado, la empresa solicita algunos datos, como un documento de identidad con fotografía y documentos con su nombre. Los certificados no se dan libremente, y las solicitudes de una empresa pueden necesitar extractos de cuentas bancarias u otros documentos que no suelen estar disponibles públicamente.
Una vez recibido el certificado, los promotores pueden empezar a firmar a los instaladores, lo que da a sus productos un aire de mayor legitimidad.
Conclusión
Como ha visto, hay bastantes más pasos para obtener esta única línea de texto de lo que parece. Todavía se distribuyen muchos programas sin que su código esté firmado de esta manera sin poner en peligro su PC, y no hay razón para sospechar que algo anda mal con los programas que carecen de un certificado.
Conocer el propósito de los nombres de los editores en las advertencias de los programas no es algo malo; se debería animar a la gente a ser más consciente de lo que elige instalar en sus ordenadores. Si algo parece raro, vale la pena ser mucho más precavido.