Patrice Bertrand, presidente del Consejo Nacional de Software Libre, y director general de Smile
Lo que el asunto Snowden ha dejado claro es que la NSA puede dirigirse a cualquier empresa norteamericana y ordenarle que entregue sus datos o introduzca fallos en sus programas de software. La empresa obedece y no puede decir nada. Por lo tanto, resulta imposible conocer el alcance de este tipo de actuaciones y cuántos programas de software han sido modificados de esta manera. Y es probable que otras democracias utilicen los mismos métodos.
PRISM va a perjudicar a los gigantes norteamericanos de Internet. Ellos lo niegan, porque están obligados a hacerlo. Como afirmaba Marissa Mayer, presidenta y Consejera Delegada de Yahoo, cualquier directivo que hable sobre el alcance de lo que suministra a la NSA se arriesga a acabar en la cárcel.
Podríamos incluso llegar a compadecernos de esos directivos, ya que, seguramente, no aprecian estas órdenes de los servicios secretos, perjudiciales para su reputación y, lo que es más grave, para su volumen de negocio.
Hace solo unos años, si alguien hubiera sugerido la posibilidad de que los programas de software más importantes tuvieran puertas traseras ocultas, insertadas para espiar, le habríamos contestado: “¡Estás delirando! Las empresas tienen demasiado que perder, no se atreverían a correr un riesgo así”. Pero no se trata de un interés económico racional. Las órdenes son obligatorias y las empresas deben acatarlas y nunca reconocer lo que han hecho.
La necesidad de los servicios secretos Razonamiento ingenuo: las democracias necesitan servicios secretos que actúen para defenderlas, por ejemplo, de acciones terroristas. No vamos a debatir aquí el punto justo de equilibrio entre la libertad y la vida privada, por un lado, y la seguridad nacional, por el otro. El asunto Snowden demuestra, como mínimo, que una vez sean posibles, las escuchas no se limitarán a cuestiones de seguridad nacional. Cuando se instala un dispositivo de vigilancia general, es prácticamente seguro que su finalidad se pervertirá, como lo demostró la STASI en su momento.
Sin ánimo de simplificar este debate, hay algo que ha quedado claro: el punto de equilibrio que cada nación escoja debe ser decidido por los representantes elegidos, de manera transparente y conocida por todos. De la misma manera que sucede con un proceso en el que el juez puede autorizar escuchas telefónicas necesarias para realizar una investigación policial. Lo que resulta más sorprendente de las revelaciones de Richard Snowden es saber que los engranajes de la democracia dejaron de aplicarse y que nadie parecía saber lo que era legal y lo que no lo era.
El cifrado es legal
Hace años, el cifrado estaba, sencillamente, prohibido al público general. Las cosas estaban claras: no estaba permitido comunicarse de ninguna manera que resultara difícil para la escucha. En gran parte debido a las necesidades prácticas de la economía digital, y no por una preocupación por la vida privada, estas prohibiciones fueron derogadas. En concreto, la propia constitución española establece en su artículo 18.3 “Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.”.De forma más conceta, la Ley 32/2003 General de Telecomunicaciones confirma: “Cualquier tipo de información que se transmita por redes de comunicaciones electrónicas podrá ser protegida mediante procedimientos de cifrado.”. En la actualidad, por lo tanto, se pueden intercambiar mensajes cifrados, mediante algoritmos y claves tan largas que ni siquiera la NSA o cualquier otros organismo podrían descifrarlas.
Hoy en día, es posible que algunas personas se sientan satisfechas con el hecho de que su correspondencia electrónica sea analizada e, incluso, archivada, para poder usarla en el futuro, porque opinan que es el precio que tienen que pagar por su seguridad. Para el resto, incluidas las empresas que trabajan en asuntos confidenciales, o en áreas competitivas, el cifrado está autorizado. La mayoría de los expertos estiman que los algoritmos conocidos, si se aplican correctamente y se utilizan con claves de la longitud recomendada, no pueden ser descifrados por los organismos de inteligencia. En definitiva, las matemáticas siguen teniendo la última palabra. Por lo menos, “si los algoritmos se aplican correctamente”; el matiz es importante. Es decir, por un lado, si no tienen fallos y, por otro lado, si no hay una voluntad activa de reducir su eficacia.
Los programas de software, en la actualidad, están amenazados
Hace unos años fue el virus Stuxnet el que ocupó las portadas. Se creó para ralentizar el programa nuclear iraní y dañaba las centrifugadoras mediante software. El bloqueo del programa nuclear iraní es, sin duda, un objetivo loable. Pero este episodio también puede hacernos reflexionar sobre el poder extraordinario del software y, al mismo tiempo, sobre la gran fragilidad de quienes no lo controlan. Stuxnet era un virus que afectaba a programas que, en principio, estaban limpios, pero su creación podría haberse debido también a una intimidación del fabricante, que estaba obligado a introducir vulnerabilidades en su software.
España no está protegida de los ataques mediante programas de software. El ejército, la industria y el sistema financiero, y todos los sectores que utilizan programas de software que no se pueden controlar, constituyen objetivos potenciales. Hace apenas unos meses, un discurso de este tipo habría sido tildado de paranoico. En la actualidad sabemos que los riesgos son reales.
Solo el código abierto se puede controlar
Solo hay una forma de saber lo que hace realmente un software: un análisis de su código fuente. Y esto no está al alcance de todo el mundo. Pero, entre los programadores con más experiencia del mundo, muchos de ellos son aficionados al software libre. Con frecuencia, les preocupa la libertad y hace mucho tiempo que aprendieron a llevar a cabo empresas colectivas. Cuando hay un software muy popular, se puede contar con este ejército en la sombra para garantizar un control riguroso. Y la posibilidad de este control debería desalentar el intento de incluir en él un fallo voluntario. Y como las modificaciones de un
software de código abierto se pueden trazar con precisión, el culpable, así como la organización para la que trabaja, también será descubierto.
Restaurar la confianza en el software
Las revelaciones de Snowden causaron un shock en el mundo del software. Además de los fallos, ahora sabemos que un software puede incluir vulnerabilidades creadas adrede. Teniendo en cuenta la importancia vital del software en todas nuestras actividades, restaurar la confianza en él es una obligación. Necesitamos un software que todos podamos controlar, un software cuyas fuentes estén disponibles. Únicamente el software libre nos permitirá volver a confiar en el software.
