Apache OpenOffice destacó hace muchos años como una completa suite de ofimática de código abierto. A pesar de que hoy por hoy existen alternativas más completas y avanzadas, el problema no es solo ese, sino que seguir apostando por este software puede representar un riesgo significativo para la seguridad de nuestros equipos.

OpenOffice arrastra desde hace años problemas de seguridad, muchos de ellos siguen sin solución hoy día. El equipo responsable de LibreOffice —una alternativa mucho más robusta y actualizada— advertía recientemente en Fosstodon (servidor de Mastodon) sobre los peligros que implica seguir utilizando OpenOffice, señalando la existencia de vulnerabilidades que llevan más de un año sin solución.

OpenOffice no es seguro, pero lo bueno es que existe LibreOffice

Este patrón no es nuevo. La historia de OpenOffice está salpicada de episodios similares que reflejan una gestión deficiente en términos de seguridad. Entre 2014 y 2015, el proyecto estuvo sin un gestor de lanzamientos durante varios meses, lo que provocó que una vulnerabilidad crítica permaneciera sin corregir. La situación empeoró cuando en 2016 se reveló que la versión 4.1.2 había sido distribuida durante casi un año con una brecha de seguridad conocida, simplemente porque el proyecto carecía de recursos para solucionarla.

Haz clic en la imagen para ir a la publicación

El problema persistió en los años siguientes. En 2017, las correcciones para la versión 4.1.3 se retrasaron varios meses por ausencia del gestor de lanzamientos. Un caso particularmente grave ocurrió en 2021, cuando se descubrió una vulnerabilidad de ejecución remota de código que había sido notificada meses antes. Lo más preocupante: LibreOffice ya había solucionado ese mismo problema siete años antes.

La situación no ha mejorado con el tiempo. En octubre de 2024, la Apache Software Foundation calificó el estado de seguridad de OpenOffice como "ámbar", con tres problemas que llevaban más de un año sin resolver y otros tantos sin analizar completamente. A fecha de hoy, algunos de estos problemas continúan sin solución.

En Genbeta

Han logrado ejecutar Linux dentro de una hoja de cálculo de Excel. Esta vez tiene truco

Frente a este panorama, LibreOffice se ha consolidado como la opción natural para cualquier usuario que busque una suite ofimática gratuita, de código libre, potente y segura. Este proyecto, nacido como una bifurcación de OpenOffice, ha evolucionado hasta superar ampliamente a su predecesor en funcionalidades, compatibilidad y, por supuesto, seguridad.

La comunidad detrás de LibreOffice mantiene un desarrollo activo y constante, publicando actualizaciones regulares que no solo incorporan nuevas características sino que, a diferencia de su predecesor, solucionan rápidamente cualquier problema de seguridad detectado.

LibreOffice, una suite de ofimática muy completa, de código abierto y gratuita

Tras haber pasado más de dos décadas utilizando Microsoft Office como suite de ofimática principal, este año decidí dar el salto a LibreOffice y la experiencia ha sido sorprendentemente positiva. La transición fue mucho más sencilla de lo que esperaba, encontrando prácticamente todas las funcionalidades a las que estaba acostumbrado pero sin pasar por las ataduras de Office, y confiando en un software de código abierto.

Así mismo, si todavía sigues utilizando OpenOffice, creo que es momento de que le des una vuelta y pruebes otras alternativas, al menos desde el punto de vista de la seguridad. Esas vulnerabilidades sin resolver acaban representando un riesgo innecesario, sobre todo teniendo en cuenta la existencia de LibreOffice.

Imagen de portada | Apache y montaje propio

En Genbeta | Este meme sobre cómo Word te destroza documentos  al mover imágenes es una genialidad. Hasta el ex jefe de Office lo ha  compartido

De la grave vulnerabilidad Log4Shell (que afecta a la librería open source Log4J permitiendo ataques de ejecución de código remoto) hemos hablado ya en esta última semana: desde las condiciones en que trabajan los desarrolladores encargados de parchearla, hasta la presencia de la vulnerabilidad en uno de los vehículos de la NASA que está explorando ahora mismo marte.

El problema al que se enfrenta Internet con Log4Shell es que al contrario que otros ciberataques relevantes de los últimos tiempos, que afectaban a un número limitado de productos de software (en muchos casos sólo a uno), Log4j está integrado en prácticamente cada servicio web basado en Java.

Todos los ciberdelincuentes del mundo, a la caza de exploits

El pasado lunes los expertos ya hablaban de un "potencial de daño incalculable", y Adam Meyers, vicepresidente de la compañía de ciberseguridad Crowdstrike, declaraba que

"Internet está en llamas en este momento. Hay gente que está luchando para parchear [la vulnerabilidad] y aún más gente que está luchando para explotarla".

En Genbeta

El dispositivo hackeable más lejano se encuentra en Marte: el dron Ingenuity tiene instalada una copia no parcheada de Log4J

De modo que, una vez se hizo pública la vulnerabilidad (por cortesía de un ingeniero de Alibaba), comenzaron los escaneos masivos en Internet (sobre todo procedentes de la red Tor), con el objetivo de encontrar plataformas vulnerables. Prácticamente todos los grupos de cibercriminales y de hackers al servicio de estados han estado ocupados en ello durante esta última semana.

🚨⚠️New #0-day vulnerability tracked under "Log4Shell" and CVE-2021-44228 discovered in Apache Log4j 🌶️‼️ We are observing attacks in our honeypot infrastructure coming from the TOR network. Find Mitigation instructions here: https://t.co/tUKJSn8RPF pic.twitter.com/WkAn911rZX

— Deutsche Telekom CERT (@DTCERT) December 10, 2021

El pasado viernes —el día siguiente a la difusión de la existencia de Log4Shell—, Cloudflare ya estaba detectando una media de 5.483 escaneos por minuto es busca de servicios web vulnerables. La cifra fue creciendo progresivamente hasta este lunes, cuando ya se superaban los 24.600 por minuto (casi 35.500.000 al día).

Evolución de los ataques detectados por minuto aprovechando Log4J (vía Cloudflare).

En resumen: lo más probable es que todas aquellas plataformas vulnerables que no hayan implementado medidas de protección, a estas alturas ya habrán sido detectadas y atacadas.

Y lo peor no es que estén haciendo uso del primer exploit difundido por Chen Zhaojun, sino que en las primeras horas de difusión se crearon más de 60 nuevos exploits que utilizan las vulnerabilidades de Log4J con el fin de extraer datos.

Menos mal que los variantes de la COVID-19 no han surgido al mismo ritmo que los de Log4Shell (vía Check Point Soft.).

Según explicaba a comienzos de esta semana la empresa de ciberseguridad Check Point Software,

"El gran número de combinaciones disponibles para explotar Log4Shell proporciona al atacante muchas alternativas para eludir las últimas protecciones introducidas".

"Esto significa que una capa de protección no es suficiente, y solo una estrategia basada en el uso de varias capas de seguridad proporcionaría una protección resistente. Tres días después del brote, lo que estamos viendo es claramente una ciberpandemia del que aún no hemos visto su punto máximo".

De hecho, según los datos que maneja la compañía el 48,1% de todas las redes corporativas del mundo se habían visto afectadas durante los primeros días tras salir a la luz la vulnerabilidad (el 51,2% en el caso de Europa).

Vía | Cloudflare & Check Point & Sky News

Tras la primera versión de Apache OpenOffice, donde se adaptó sobre todo las licencias de la suite a los requisitos de la licencia de Apache y se aprovechó para limpiar el código. Ahora Apache OpenOffice saca su segunda versión y nos enseña sus planes de futuro. La versión lanzada, la 3.4.1, es una versión menor de corrección de errores y que ha actualizado la traducción que tenía disponible en español. Pero han aprovechado el lanzamiento para desvelar los planes de futuro de la versión 3.5 y posteriores.

Además de adaptar la suite para que trabaja correctamente con Windows 8, la nueva versión 3.5 está prevista que llegue en el primer trimestre de 2013. Para una versión siguiente, la 4.0 se está trabajando para aprovechar el código donado por IBM Lotus Symphony para incluir algunas de sus características en la nueva versión, ¿se desplazarán los menús al panel lateral derecho o se mantendrán como está ahora?

Además solicitan la colaboración de los usuarios para ver lo que debería ser OpenOffice en el futuro, para lo cual han abierto un espacio para recoger toda la información a través de Google Moderator, donde hasta el momento 317 personas han enviado 291 ideas y han emitido 3.359 votos sobre las mismas. Una buena idea para recuperar la confianza de usuarios y atraer desarrolladores.

Parece que por fin OpenOffice se pone en marcha y aunque creo que ha perdido mucho terreno y usuarios respecto a LibreOffice con un desarrollo mucho más rápido y con unos planes de futuro enfocados a su desarrollo web y móvil. Lo cierto es que OpenOffice mantiene una cuota de mercado importante, sobre todo en las empresas con Windows como sistema operativo, que se han mantenido fieles a lo que un día fue OpenOffice.

Más Información | Fundación Apache
En Genbeta | Apache OpenOffice 3.4 supera el millón de descargas

En el blog de ingenieros de Twitter, la compañía ha comunicado que se han convertido en patrocinador oficinal de la Apache Software Foundation, incrementando de esta manera aún más su compromiso con el software de código abierto, del cual ellos hacen un uso intensivo.

Según dicen desde Twitter, la razón de este patrocinio es que la ASF brinda apoyo organizativo, legal y económico a algunos proyectos que ellos no solo consumen sino a los que también contribuyen. Y ponen como ejemplo, entre otros más, a "Apache Mesos":http://incubator.apache.org/mesos/, un proyecto que está cerca de su lanzamiento oficial pero que ellos ya utilizan en cientos de máquinas.

De esta manera, Twitter se une a la lista de grandes compañías que apoyan a esta fundación, como Microsoft, Google, Facebook, Amd o IBM. al momento de escribir esto, su nombre aún no aparece en la "lista de sponsors":http://www.apache.org/foundation/thanks.html, pero dado que la noticia es reciente, imagino que no tardaremos mucho en ver su logo ahí.

Otra buena noticia por parte de Twitter que está demostrando que sabe ser agradecida y cooperadora con aquellos que "forman parte de la compañía":https://www.genbeta.com/actualidad/twitter-se-compromete-a-usar-las-patentes-de-sus-desarrolladores-solo-de-forma-defensiva o, como en este caso, proveen herramientas que contribuyen a que su funcionamiento sea mejor.

Vía | "Blog de ingeniería de Twitter":http://engineering.twitter.com/2012/04/sponsoring-apache-foundation.html

Cuando hemos hablado de Lotus Symphony siempre he tenido la sensación de que la apuesta de esta suite era mejor que la de OpenOffice, sin embargo, los usuarios no terminaban por elegir esta suite ofimática, tal vez porque era propietaria de IBM, aunque como derivada de OpenOffice también contribuyera a su código. Pero en un reciente anuncio nos comunican que IBM ha donado el código de Lotus Symphony a la Apache Software Foundation, siguiendo los pasos de lo que hace algo más de un mes hizo Oracle con OpenOffice.

De esta forma se unifican las dos ramas de desarrollo y se aúnan esfuerzos, por lo menos en lo que a responsabilidad del proyecto se refiere. IBM seguirá apostando por Lotus Symphony, pues no en vano es la suite ofimática por defecto de toda la empresa, que no es una cuestión menor. Seguirán aportando esfuerzos y colaboración al proyecto de OpenOffice, a la vez que esperan que la comunidad colabore con Lotus Symphony. La cuestión que desde la Fundación Apache tienen que resolver es si mantienen dos ramas o se apuesta por una sóla.

¿Debe adoptar OpenOffice la interfaz de Lotus Symphony? Esta sería la gran pregunta que deberíamos hacernos. Por un lado si lo hace pierde parte de su interfaz clásica, que muchos de los usuarios ve como algo familiar desde hace años. Por otro lado, la Lotus Symphony tiene un aspecto bastante más moderno y elegante que Open Office, además de al desplazar los menús al lateral derecho se aprovecha mucho mejor en las pantallas panorámicas.

La segunda pregunta que me surge en este caso, es ¿debería unirse ahora LibreOffice a este proyecto?. Lo cierto es que el motivo de la ruptura no fue otro que el control por parte de Oracle de OpenOffice. Una vez que el código ha sido donado a la Apache Software Foundation quizás sería bueno unificar los esfuerzos para tratar de tener un proyecto que pueda competir como alternativa a Microsoft Office, pero también a Google Docs ya que para tareas básicas muchos usuarios se mueven a la nube en lugar de apostar por el escritorio.

Y esta es la tercera pregunta que me surge, ¿apostarán en algún momento por la nube como modelo para OpenOffice?, o dicho de otro modo ¿tiene sentido seguir apostando por una suite ofimática de escritorio hoy en día? Lo cierto es que para las tareas más básicas nos responde bien, pero para cuestiones más complejas los usuarios mayoritariamente prefieren MS Office, por lo que creo que la batalla la tienen perdida. Sin embargo en la nube la cosa no está tan clara, y habiendo realizado ya IBM movimientos en este sentido sería una posibilidad.

Desde luego esperemos que el empujón que supondrá para OpenOffice sea suficiente para reactivar un proyecto que desde principios de año parece más parado que otra cosa. Todavía están pendientes de sacar la versión definitiva de OpenOffice 3.4, de momento todavía en beta, por lo que casi podemos decir que habrá sido un año perdido para ellos. Esperemos que vuelvan a coger de nuevo impulso con esta aportación del código de Lotus Symphony.

Más Información | Lotus Symphony
En Genbeta | LibreOffice 3.3.3 y sin noticias de OpenOffice