A medida que el software se convierte en una parte vital de nuestras vidas, ¿nos da la ética del código abierto una mejor oportunidad de hacerlo más seguro?
La condición cardiaca de Karen Sandler significa que vive con lo que ella describe como un «riesgo muy alto de morir repentinamente».
Debido al peligro de que su corazón anormalmente grande pudiera sufrir un paro cardíaco, se le ha colocado un desfibrilador combinado de marcapasos.
En este paquete de aparatos electrónicos están codificadas las instrucciones de cuándo dar una descarga para corregir irregularidades potencialmente fatales en el latido de su corazón.
Desafortunadamente para Sandler estas instrucciones resultaron ser erróneas. El año pasado, mientras estaba embarazada, Sandler fue electrocutada dos veces innecesariamente por la unidad.
La culpa fue de suposiciones erróneas: es tan inusual que a una mujer que lleva un niño se le implante el dispositivo (su estado, la miocardiopatía hipertrófica, afecta a una de cada 500 personas) que cuando su ritmo cardíaco fluctuó de manera consistente con el de una mujer embarazada, se disparó un software en la unidad para disparar una ráfaga de voltios.
«Eso estaba fuera de lo que anticipaban los algoritmos programados en estos dispositivos», dijo, explicando que la unidad se implanta mucho más comúnmente en hombres mayores.
Para Sandler, las suposiciones erróneas codificadas en el dispositivo son un recordatorio de lo importante que es que el software sea transparente.
«Tengo un desfibrilador de marcapasos implantado en mi cuerpo en el que se basa mi vida», dijo Sandler, que es director ejecutivo de Software Freedom Conservancy (SFC), una organización benéfica que ayuda a promover y defender el software libre y de código abierto.
«Ni siquiera puedo revisar el código fuente, y mucho menos contratar gente o escribir algún código que sea específico para mi propia situación y que evite que me escandalice como mujer embarazada.
«Esperar que los fabricantes de dispositivos se anticipen a todos los problemas que yo tendría es ingenuo. No está en sus intereses financieros, pero también es muy raro.
«Realmente trae a casa el hecho de que si no tienes control sobre el software en el que dependes, puede ser realmente problemático».
Sandler, que se describe a sí misma como una «abogada cyborg», es licenciada en ingeniería y trabajó durante un tiempo en derecho corporativo antes de involucrarse en el movimiento del software libre.
Es fácil ver a Sandler como una persona atípica y asumir que la vida de la mayoría de las personas no depende tanto del código. Pero a medida que avanzamos hacia una era en la que los coches son cada vez más autónomos, ella argumenta que todos nosotros pronto, hasta cierto punto, dependeremos del software para mantenernos vivos.
«El coche de lujo medio tiene 100 millones de líneas de código. El Instituto de Ingeniería de Software estima que se introduce un error por cada 100 líneas de código. Es realmente aterrador pensar en ello.»
Los vehículos modernos con su dependencia de la electrónica controlada por software para manejar todo, desde el diagnóstico hasta la gestión del motor, ya han demostrado ser vulnerables a la piratería informática. El año pasado, un investigador de seguridad pudo aprovechar los fallos de los programas informáticos de los ordenadores de a bordo de los automóviles y camiones para aplicar los frenos a distancia. El año pasado, la US Library of Congress Car dictaminó que los propietarios y los expertos en seguridad pueden modificar el software de los automóviles sin incurrir en responsabilidad de derechos de autor de los Estados Unidos.
Y a medida que los artículos cotidianos, desde bombillas hasta frigoríficos, comiencen a conectarse como parte de la Internet de los objetos, la seguridad del software que se ejecuta en estos dispositivos se convertirá en una preocupación para todos, dijo.
«Ahora tenemos un Internet de las cosas donde todo habla con todo lo demás y tu teléfono está hablando con tu sistema de seguridad o tu refrigerador. Hay toda una red de cosas hablando entre sí y de repente las bombillas se han vuelto críticas para la seguridad».
El argumento de que el software de código abierto es intrínsecamente más seguro que las alternativas propietarias ha sido debatido durante mucho tiempo. Mientras que algunos dicen que la práctica de código abierto de liberar el código fuente para que cualquiera lo vea y modifique aumenta la probabilidad de que los errores sean descubiertos, otros argumentan que no hay suficiente evidencia para apoyar la afirmación. Otros detractores señalan el hecho de que el reciente fallo Heartbleed no fue detectado en la biblioteca criptográfica OpenSSL de código abierto durante varios años.
Sandler dice que si bien no cree que la práctica de código abierto de hacer que el código esté disponible para que cualquiera lo vea siempre conduzca a mejores resultados, sí cree que le da a la gente una mejor oportunidad de detectar problemas.
«Aunque el software libre y de código abierto no es necesariamente mejor y más seguro, tenemos una oportunidad con el software libre y de código abierto porque podemos revisarlo y auditarlo y cualquiera puede arreglarlo. Con el software privativo estás esperando a que las compañías admitan que hay un problema y luego desarrollen parches».
Conseguir que las empresas respeten el código abierto
Para una organización con sólo tres empleados a tiempo completo, el SFC está ciertamente ocupado – proporcionando asistencia administrativa a proyectos de código abierto de alto perfil como Git, así como ejecutando programas de extensión para ayudar a las mujeres y a otros grupos subrepresentados a involucrarse con el software libre y de código abierto.
Pero quizás la actividad más controvertida, y más costosa desde el punto de vista financiero, emprendida por el grupo es pedir cuentas a las organizaciones que considera que han violado los principios de compartir en el seno del movimiento del código abierto.
El año pasado, el SFC fue noticia por financiar una acción para llevar a la corte al especialista en virtualización VMware, parte del gigante tecnológico EMC. El litigio alegaba que VMware había escrito software basado en el código del núcleo de Linux, pero que no había compartido el código de su propio software.
Compartir código de esta manera es un requisito de la versión 2 de la Licencia Pública General de GNU (GPL) bajo la cual se licencia el kernel de Linux y en marzo de 2015 el principal contribuyente de Linux Christoph Hellwig inició los pasos para demandar a VMware en Alemania. En ese momento, VMware dijo que la demanda era «sin mérito».
«Nos interesa la ideología del software libre y de código abierto. Creo firmemente, y creemos, que la sociedad en su conjunto estará más segura con software libre y de código abierto, y la GPL es uno de los mecanismos más poderosos para lograrlo», dijo Sandler.
«Aunque hay más software útil bajo la GPL, significa que la biblioteca de software libre y de código abierto está en constante crecimiento.»
En pocas palabras, la GPL garantiza a los usuarios de software la capacidad de ejecutar, estudiar, compartir y modificar el código fuente de ese programa y requiere que cualquiera que construya sobre software con licencia GPL también publique su trabajo bajo la GPL.
Sandler enfatiza que demandar a las empresas por incumplimiento es el último recurso, y que la acción siguió a años de negociación con VMware para liberar el código fuente.
Sin embargo, la acción legal es necesaria, si se quiere que las empresas se adhieran al requisito de que compartan su software y su código, dijo.
Los abogados de las grandes empresas incluso han agradecido a la organización por apoyar las medidas de aplicación de la ley, dijo, ya que da a los consejos de administración de las empresas una razón para honrar los principios del código abierto.
«Si un abogado general puede ir y decirle a la junta directiva de una compañía que esto es un riesgo real, realmente necesitamos cumplir porque de lo contrario podríamos ser demandados en el futuro, lo que hace que sea mucho más efectivo para ellos internamente abogar para que la compañía haga lo correcto».
El tema del cumplimiento corporativo con licencias copyleft como la GPL se está volviendo cada vez más importante, ya que el software de código abierto se convierte en una parte integral del mundo de los negocios. Hoy en día, algunas de las empresas más grandes del mundo, como Google y Facebook, se basan en gran medida en pilas de software de código abierto, e incluso los proveedores a largo plazo de software privativo como Microsoft han comenzado recientemente a profesar su «amor» por el software de código abierto.
«Estoy muy entusiasmado con el hecho de que las empresas estén adoptando el software libre porque, a medida que terminan haciendo declaraciones que promueven el software libre y de código abierto, se dan cuenta de sus beneficios y lo incorporan en mayor medida a sus productos», dijo Sandler.
«Lo único que me preocupa es esta cooptación y la idea de que ellos digan que usan mucho código abierto significa que son grandes participantes en la comunidad, lo que básicamente no es cierto.
«Es frustrante cuando se está encubriendo, por falta de un término mejor, cuando se está encubriendo violaciones y no se está participando realmente con la comunidad o usando software libre en formas que son privativas».
Desde que el SFC respaldó la acción legal contra VMware, la organización benéfica ha visto cómo las empresas retiran los fondos y cómo el SFC también ha visto a sus miembros bloqueados para hablar en conferencias, dijo.
«Las empresas se han vuelto más reacias a financiarnos desde la demanda de VMware», dijo Sandler.
Desde el punto de vista financiero, la organización ha sido tan duramente golpeada que ahora está luchando para seguir aplicando licencias de copyleft como la GPL. El SFC ahora está pidiendo fondos individuales: sin embargo, hasta ahora sólo ha atraído el apoyo de poco más de 720 personas y se verá obligado a suspender la aplicación de la ley -excepto el caso de VMware en curso- a menos que consiga fondos de más de tres veces ese número de personas.
A pesar de que las probabilidades están algo apiladas en contra del SFC, Sandler sigue siendo optimista. Sin embargo, señala que la aplicación de la ley es necesaria para lograr que las empresas devuelvan a las comunidades de código abierto y evitar que se apropien del control de los proyectos y el código de código abierto.
«Creemos que el cumplimiento de la GPL es increíblemente importante. Creemos que es importante para la sociedad, importante para los negocios. También hemos visto que las empresas tienen muchas, muchas menos probabilidades de cumplir si no hay consecuencias por no cumplir. Es un simple análisis, no es muy difícil de ver».