Jose Daniel Gutiérrez Porset
Profesor de Ingeniería de Comunicaciones de la UPV/EHU

Ciberataque mundial, GNU/Linux y Software libre

¿Quiere decir esto que si a futuro no tenemos Windows estaremos completamente a salvo? La respuesta es no. La seguridad es un proceso, no un producto final, y es imposible que esté garantizada al 100%.

Estamos a unos días del ciberataque que ha afectado a centros de salud, empresas, y distintos organismos de más de 150 países. Días con sus noches en que el personal directivo de bastantes servicios TICs no ha dormido con tranquilidad. En la era de la internet de las cosas, de los coches con ordenador a bordo, y de una tecnologización de la vida privada que a ratos nos convierte más en cyborgs que en seres humanos, es patente que cada vez somos más dependientes del software.

En esta ocasión, la dosis de malware se denomina «WannaCry» («quiero llorar»), afecta a equipos con distintas versiones del sistema operativo Windows, y se propaga entre ordenadores aprovechando una vulnerabilidad en aquellos casos en que no tengan instalado un «parche» que Microsoft publicó a mitad de marzo.

Una pregunta que surge es: dado que todos los equipos con GNU/Linux o macOS no han sido afectados, ¿quiere decir esto que si a futuro no tenemos Windows estaremos completamente a salvo? La respuesta es no. La seguridad es un proceso, no un producto final, y es imposible que esté garantizada al 100%; en los programas van encontrándose fallos de seguridad, y ante un agujero descubierto (bien por «los buenos» o por «los malos»), la probabilidad de ser vulnerable depende en gran parte de dos tiempos: el que se tarde en desarrollar el parche o código que corrija ese agujero, y el que se tarde en aplicar el mismo en un equipo potencialmente afectado.

Examinemos el factor del acceso universal al código fuente, propio de las licencias de software libre. La cuestión es: si hay más ojos que pueden leer el código encontrando fallos (para bien o para mal) y corrigiéndolos, ¿inclina esto la balanza hacia algún lado? Respuesta negativa. Todo dependerá del nivel de actividad de la entidad que está detrás de cada programa, sea una comunidad, una empresa o una persona, y específicamente del tiempo que dedique a mejorar el código y publicar las nuevas versiones corregidas, que además habrán de ser instaladas en los puestos vulnerables.

Aun con estas premisas, entrando a valorar las razones por las que los equipos con GNU/Linux y OS X tienen menos riesgo, se constata en primer lugar que a pesar de haber software malicioso para estos sistemas [https://goo.gl/dAuZP6], la estadística empírica de vulnerabilidades que se han propagado y les ha afectado de forma masiva ha sido hasta la fecha muchísimo menor. Por una parte, porque al estar menos extendido su uso, los crackers prefieren centrarse en plataformas con mayor impacto potencial. Pero otra razón no desdeñable es que la arquitectura Linux o Unix, a diferencia de Windows, se ha basado desde hace más de cuatro décadas en construir sistemas formados por piezas pequeñas y autónomas que interactúan entre sí, pero que no tienen un grado de dependencia tal que si falla una parte es más probable que todo el sistema en su conjunto se vea comprometido.

Otro argumento significativo de la seguridad de GNU/Linux en relación a los programas cerrados como Windows o macOS es que en las distribuciones de dicho sistema operativo no sería concebible la existencia de un software diseñado por el fabricante que lleve a cabo funcionalidades maliciosas ocultas (ej. control remoto, transferencia no autorizada de datos), pues sería detectado y corregido en poco tiempo.

En cualquier caso, a día de hoy resulta sorprendente y triste –WannaCry– que las entidades y administraciones públicas tengan en general un alto grado de parálisis ante la posibilidad de apostar seriamente por el software libre en general, y por GNU/Linux en particular, diseñando planes estratégicos específicos y asignando los recursos necesarios.

Es una alternativa conveniente por el factor seguridad y, de forma más amplia, por la soberanía tecnológica que evita la dependencia tecnológica hacia terceros. Pero también por el factor económico. El software es una fuente enorme de riqueza, y no es casual que de ahí provenga la fortuna de cuatro de las siete personas más ricas del planeta [https://goo.gl/iZ10pQ]. Una migración progresiva hacia el software libre tendría a medio/largo plazo consecuencias positivas para cada región local, pues cambiaría el movimiento de flujos de capital de modo que en lugar de ir hacia multinacionales externas a través de países que pagan bajos impuestos como Irlanda, redundaría en más oportunidades de empleo a nivel local, y en una distribución de la riqueza más horizontal a nivel global.

Finalmente, hay otra razón para apostar en mayúsculas por el software libre: su carácter intrínseco de riqueza común («commons»), al ser una herramienta de conocimiento abierta de forma universal de forma semejante a la Wikipedia, y el hecho de que a futuro, para las generaciones venideras, sólo tiene un camino: el de la mejora continua.

Recherche