Recientemente circuló una nota1 en el diario El Universal escrita por el periodista Mario Maldonado, en la cual se critica al gobierno de México por no invertir en tecnología y se informa que diversos servidores fueron atacados por esta razón, afirmando que esos ataques se derivan de usar software libre, al cual califican en esa nota de inseguro.

Aunque nos hemos referido al tema en ocasiones anteriores, consideré que sería oportuno tocar el tema en este primer número de la nueva etapa de nuestra revista SER Strategique.

A mi parecer, hay dos puntos criticables a partir del artículo mencionado. Por un lado, la equívoca idea de que usar software libre equivale a que todo es gratis, incluyendo el pago a los trabajadores; y por otro lado, la igualmente errónea creencia de que por ser productos de un alto costo, los programas privativos son (más) seguros. El gobierno parece haber caído en la primera trampa, y el periodista en la segunda.

Del software libre y la gratuidad

Parece increíble que en estas fechas siga habiendo la confusión entre los conceptos de libertad y gratuidad, en particular del software. Pudiera ser que esa confusión se derive del hecho de que en inglés los dos conceptos, libre y gratis, se traducen con la misma palabra, free. Y si bien es verdad que muchos de los programas libres también son gratuitos, esto no es necesariamente así. Pero además, la instalación de tales programas, su configuración, su adaptación, la capacitación a los usuarios, el soporte técnico y la administración son servicios que deben ser provistos por alguien, y ese alguien debe contar con un perfil adecuado. Aquí es donde encontramos muchos problemas, por el desdén que los usuarios de computadoras en nuestro país muestran por estos, y otros, servicios. Y creo que ese desdén por los servicios, y por el personal que los presta, está presente en la administración federal. Esto no es nuevo.

Antes de ampliar el comentario es oportuno decir que la libertad del software se refiere a la garantía de que los usuarios puedan instalarlo y utilizarlo, pero también distribuirlo, estudiarlo, modificarlo, auditarlo, etc. Este concepto de libertad fue desarrollado en la década de los 1980’s por, entre otros, Richard Stallman, fundador del proyecto GNU2 que derivó en un movimiento mundial por el uso de software libre, dando lugar a una fundación para impulsarlo, la Free Software Foundation3. Lo que motivó a Stallman y otros fue la decisión de la empresa ATT de imponer restricciones al uso y modificación del sistema operativo Unix, del cual era propietaria. En contraposición, llamamos software privativo, comercial o propietario a los programas que imponen restricciones a esos derechos.

Pero volvamos al tema del software libre en el gobierno mexicano. Cuando el actual presidente fue Jefe de Gobierno del DF impulsó el uso de software libre, sí, contrató a un cierto número de profesionales altamente capacitados, sí, pero no destinó presupuesto suficiente para hacer realidad la adopción de este tipo de software en la administración pública del DF. Aún así, se tuvieron resultados muy interesantes, como, por citar tan solo un ejemplo, un sistema para el Registro Civil, totalmente hecho en casa y que incorporaba elementos de hardware (cámaras fotográficas de bajo perfil montadas en bastidores hechos a la medida) para la digitalización de actas y documentos, utilizando algoritmos desarrollados por tesistas involucrados en el proyecto. Sin embargo, y a pesar del enorme ahorro derivado del uso de este software, muchas cosas quedaron en el aire por la falta de personal y presupuesto. Conociendo esos antecedentes, no es difícil imaginar que el impulso del software libre en la administración federal esté enfrentando retos similares y que el personal contratado sea escaso y posiblemente poco experimentado, en general. Y cuando nos referimos al tema de la seguridad, debemos ponernos en manos de personal altamente especializado, lo cual cuesta. Aunque, cabe apuntar aquí, esto es indistinto se use software libre o privativo.

Para ir cerrando este punto diré que al usar computadoras, y programas obviamente, se requiere darles mantenimiento, administrar los sistemas e implementar procesos de seguridad, se use lo que se use.

Las últimas afirmaciones pudieran poner en duda el beneficio de usar software libre por razones económicas, pero no debe ser así. Debe considerarse que un sistema de información conlleva costos diversos en distintos tiempos. Por una parte está el costo de adquisición, el cual es terriblemente menor en el caso del uso de software libre (insisto en que no necesariamente los programas son gratuitos). Por otra, están los costos derivados de la instalación y configuración. Aquí también suelen ser menores, y en ocasiones mucho, los costos asociados con la implantación de programas libres. También deben considerarse los costos de capacitación, tanto a usuarios finales como al personal técnico. Tal vez aquí pudieran parecer menos claras las diferencias de costos, aunque siempre se tendrán opciones más económicas relacionadas con el mundo del software libre. Finalmente, están los costos de administración, que incluyen, sin pretender ser exhaustivo, administración, mantenimiento, actualizaciones, etc., y sí, la seguridad. Y, nuevamente, los costos en estos conceptos son muy inferiores en el caso de los programas libres. Todos estos costos suman lo que se conoce como costo total de propiedad (TCO, por sus siglas en inglés), el cual, como podrá advertirse, representa una clara ventaja para el software libre con respecto a los programas comerciales.

Seguridad. ¿Software libre o privativo?

Si el apartado anterior parece concederle la razón al periodista de la nota periodística referida, esto solo es cierto en la medida de los que no se ha hecho bien en el gobierno en el tema de la tecnología de la información. Sin embargo, el artículo adelanta una conclusión que no compartimos, pues supone que de haber usado programas comerciales, no se habrían tenido esos problemas. Falso. De hecho, se tendrían en mayor medida, pues los ataques se deben a una falta de mantenimiento de los programas y una deficiente administración, lo cual posibilita que los atacantes exploten las vulnerabilidades en los programas. ¿Las qué? Las vulnerabilidades, vamos a ello.

Cuando los programadores escriben alguna pieza de software, sea el sistema operativo, un procesador de textos, un lector de correo o una herramienta de respaldo de datos, suelen seguir algunas líneas generales para evitar que el uso de ese software ponga en riesgo los datos que ha de manejar, u otros. Sin embargo, todos ellos pueden llegar a presentar alguna condición, posiblemente muy difícil de encontrar en la práctica, que comprometa esa seguridad. Por ello, existen equipos que trabajan específicamente en la búsqueda de esas condiciones y, cuando hallan alguna, la llaman vulnerabilidad. Todo el tiempo aparecen ese tipo de situaciones que afectan a uno o varios programas, e incluso a muchos, cuando la vulnerabilidad está vinculada con un lenguaje de programación, por ejemplo. Cuando eso ocurre, se genera un boletín informativo4, para que los usuarios de ese programa sepan de la existencia de tal vulnerabilidad, con un estimado de su gravedad y hasta un informe de si se conoce alguna forma de usarla para ocasionar daños intencionales o aún no. Enseguida, los desarrolladores del software trabajan para modificar su programa de modo que se corrija ese problema. A eso le llaman frecuentemente “parches” o actualizaciones. Es tarea de los administradores de sistemas aplicar tales parches o actualizaciones, en los casos que les afecten.

Una creencia popular, y que parece lógica, es que las empresas fabricantes de software privativo encuentran más rápido las soluciones a las vulnerabilidades en sus productos, pero en realidad eso no suele ser así, y muchas veces la aparente rapidez obedece a que ocultaron una vulnerabilidad que ya habían encontrado, esperando tener la solución, o estar cerca de ella, pero cuando la vulnerabilidad es descubierta por otros, no tienen esa posibilidad. En realidad lo que se observa es que las correcciones a los programas para resolver vulnerabilidades generalmente se obtienen más rápido en el ámbito del software libre. Por otra parte, existen programas privativos de amplio uso que suelen presentar vulnerabilidades5 y prácticamente son garantía de presentar alguna. También hay que considerar que en algunos casos, las estadísticas sobre vulnerabilidades en el software se refieren a programas que tienen muchísimos años en existencia (claro que con versiones nuevas todo el tiempo), por lo que un alto número de problemas detectados no necesariamente debe interpretarse como una baja calidad del producto. Tal es el caso del sistema operativo GNU/Debian Linux6, según se aprecia en el enlace de la nota previa, pues aparece en el primer sitio, pero es un sistema que no ha cambiado su nombre desde los años 90 y, en realidad, es una distribución7 de Linux que pone un especial énfasis en el tema de la seguridad.

Como puede verse, usar software privativo no necesariamente significa que se contará con la corrección de errores mas rápidamente, y suele ser al contrario. Además, muchas veces se requiere de un pago periódico, por ejemplo anual, para acceder a las actualizaciones que corrigen esas vulnerabilidades8.

Conclusión.

Desconozco la intención auténtica de la nota del periodista Mario Maldonado, pero, si bien acusa una práctica deficiente del gobierno federal en materia de Tecnología de la Información, la conclusión que presenta es apurada y errónea. No pretendo afirmar que la nota estuvo auspiciada por algún fabricante de software, ni mucho menos. Parto del supuesto de que fue bien intencionada y por eso consideré importante escribir estas notas. Por supuesto, la última palabra la tienen los lectores.

1Hackers atacan a la 4T por falta de inversión https://www.eluniversal.com.mx/opinion/mario-maldonado/hackers-atacan-la-4t-por-falta-de-inversion

2Ver la página del proyecto http://www.gnu.org

3El lector interesado podrá conocer más visitando http://www.fsf.org

4Por ejemplo, el SANS Institute, institución de la National Security Agency (NSA) del gobierno de los EEUU emite este tipo de boletines.

5En este enlace se puede ver un resumen que así lo ilustra: https://www.muycomputer.com/2020/03/09/vulnerabilidades-de-software/

6Visitar la página del proyecto http://www.debian.org

7Sobre el concepto de “distribuciones” Linux, leer, por ejemplo https://www.elblogdeliher.es/que-es-distribucion-linux/

8En el mundo del software libre, existen empresas que producen distribuciones de Linux y cobran por el acceso a las actualizaciones, como ocurre con SuSE y RedHat.

Lic. Armando Soto Baeza

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *