jueves, 29 de noviembre de 2012

La trampa del elemento facilitador


Hace poco cruzaba unos correos con mi amigo Carlos sobre esos temas de Salud Móvil que tanto le fascinan (y de los que tanto sabe). Y en esa conversación salió, no una sino dos veces, una pregunta difícil: ¿cómo afecta a la Seguridad de la Información el uso de Software Libre? ¿Es beneficioso o perjudicial?

La idea quedó en el aire y no hubo ocasión de responderla. Y ahora no paro de pensar en ella. Como en los dibujos animados, dos pequeñas figuras se suben a mis hombros: una con alas, voz dulce y tocando la lira. La otra, de color rojo, voz maliciosa, rabo, cuernos y un tridente...

Una me dice: "El Software Libre es beneficioso. El código fuente está expuesto a la vista de todo el mundo y todo el mundo puede verificarlo, encontrar los errores...  e incluso corregirlos. Antes de instalarlo y usarlo es posible analizar el código y comprobar qué hace. Hay herramientas libres y gratuitas para securizar sistemas y para comprobar su seguridad. Es, en definitiva, fruto de un trabajo colectivo y colaborativo, lo que le confiere mayor calidad...".

La otra responde: "No hagas caso. El Software Libre es fruto de un proceso de desarrollo descentralizado, abierto... y, las más de las veces, desorganizado. Un proceso y una organización tan complejos que, inevitablemente, redundará en errores y en problemas de coordinación. Más aún, al ser públicamente revisable, los ciberdelincuentes pueden encontrar más fácilmente las vulnerabilidades y explotarlas sin avisar a la comunidad al respecto. Esas herramientas libres que se pueden usar para probar la seguridad de los sistemas pueden ser utilizadas por los ciberdelincuentes para atacarlos...".

Que cada cual decida quién dice qué. Yo, en cualquier caso, sigo en medio de esta discusión y creo que ambos tienen su punto de razón. Pero también que ninguno de estos argumentos ayuda a responder la pregunta original: ¿es beneficioso o perjudicial para la seguridad?

Mi respuesta es un categórico... DEPENDE. La pregunta tiene truco. Es como si se preguntara "¿Es un bisturí beneficioso o perjudicial para la salud de los pacientes?". Pues... dependerá de cómo se use. Y también de quién lo use, que creo que Jack el Destripador no lo manejaba de buena fe en sus fechorías. Con el Software Libre pasa lo mismo. Como norma general, el concepto en sí es beneficioso pero se puede hacer mal uso de él, ya sea de forma intencionada o no. Porque siempre que se toma una decisión se está corriendo, a sabiendas o no, unos riesgos y en ser conscientes de ellos, y en saber evitarlos, puede estar la clave del éxito.

Fácil de decir, difícil de llevar a cabo. Porque, igual que los vicios suelen camuflarse como virtudes, los riesgos simulan muchas veces ser una oportunidad. Un ejemplo viene dado por lo que he terminado llamando "la trampa del elemento facilitador".

Aunque ya esté más que dicho, Software Libre no es lo mismo que Software Gratuito. Pero con demasiada frecuencia se opta por determinado software libre porque instalarlo y usarlo no supone un coste. Pongámonos en la piel del responsbale de Informática de una pequeña organización. Debido a la crisis, no dispone de personal ni medios técnicos suficientes para sacar adelante su trabajo. Y cada vez le exigen más servicios. Que si una intranet, que si una página web institucional, que si un servicio de correo electrónico y webmail, que si un sistema colaborativo-participativo,... todo ello sin olvidarse de la ofimática, los equipos averiados, la gestión de cuentas del sistema, las redes de comunicaciones, el desarrollo y mantenimiento de programas, etc.

A la vez, en estos tiempos de crisis que corren, los presupuestos asignados a todos estos proyectos son cada vez más escasos. Son días de "hacer más con menos".

Para esta persona, el Software Libre es un elemento habilitante. No dispone de dinero para comprar esas soluciones propietarias que vienen acompañadas de costosas licencias de uso y que son difíciles de adaptar a sus necesidades. Ni de los recursos necesarios para desarrollar las suyas propias. Y, en cualquier caso... ¿para qué, si ya hay herramientas gratuitas, soportadas por una Comunidad en constante actividad? Lo que le interesa no es analizar el código fuente (y, si le interesara, no tendría tiempo), sino que puede utilizar el producto de forma gratuita y sin restricciones de uso. Si no fuera por el Software Libre, los proyectos que tiene por delante no podrían ser hechos realidad.

Hasta aquí, todo bien. Pero... ¿qué ocurre cuando se abordan más proyectos de los que se es capaz de gestionar?

Trasladémonos unos años en el futuro y veamos qué pudo ocurrir con aquellas herramientas. Como era gratis, se instalaron numerosos nuevos sistemas. Como eran útiles, se pidieron nuevos servicios. Pero la gestión de los mismos siguió en manos del mismo reducido equipo de técnicos. La Dirección, que no entendía demasiado de Nuevas Tecnologías ni conocía realmente lo que es el Software Libre, no se implicaba en estos temas. Sólo quería ver resultados.

Era demasiado trabajo. Muchos sistemas se quedaron sin actualizar. Quizá porque no se había establecido quién y cuándo debía hacerlo, quizá por falta de tiempo, quizá porque no se deseaba correr el riesgo de que algo crítico dejara de funcionar.

Gestionar un sitio colaborativo-participativo tampoco era una tarea fácil. Nadie quería dedicarse a monitorizar y controlar las creaciones de cuentas de usuario. A nadie le sobraba tanto tiempo. De modo que se permitió que la gente se diera de alta a través de un formulario en una página web. Al fin y al cabo, es algo a lo que estamos acostumbrados en otros servicios.

Y, mientras tanto, la idea de que "esto anda por sí solo" iba instalándose en la cultura del día a día.

Como resultado, por un lado, se disponía de versiones obsoletas de programas que presentaban problemas de seguridad conocidos y reconocidos públicamente. Vulnerabilidades que los hacían fruto fácil de los ciberdelincuentes. Por otro, los sistemas participativos se poblaron con cuentas creadas para publicar mensajes y comentarios con SPAM: anuncios de falsificaciones de productos de marca, medicamentos vendidos de forma ilegal, descargas de software pirata, pornografía,...

Esos sistemas que hasta poco antes habían servido a los intereses de la organización ya no estaban bajo su control. Visitarlos se convertía no sólo en una experiencia molesta, sino también en un riesgo de ser infectado por virus y otros tipos de software malicioso.

La causa de este problema no fue el Software Libre, sino la gestión que se hizo de él. Una gestión que se basó en que era gratuito y no en que fuera libre. En que se pensó que, si no cuesta nada... ¿por qué no hacerlo? En que se utilizó, no ya como elemento habilitante, sino como elemento facilitador que hizo posible tomar a la ligera unas decisiones que debarían haber sido abordadas desde un punto de vista estratégico. En que se confundió precio con valor y no se valoró ni se prestó suficiente atención a aquello que parecía no tener coste alguno. En que no se pusieron suficientes recursos organizativos al servicio del proyecto.

Posiblemente las aplicaciones siempre tendrán problemas de seguridad. El software, ya sea Libre o Propietario, es algo demasiado complejo como para que no surjan fallos. Y habrá quien los busque e intente aprovecharlos. Pero hay otros factores que afectan tanto o más a la Seguridad de la Información que el software. Y entre ellos están, claramente, los aspectos organizativos: cosas como quién realiza cada función, qué normas hay que cumplir, qué controles se deben realizar, qué medios se ponen al servicio de cada proyecto, cómo se forma y conciencia al personal, qué horizonte temporal y qué espectativas hay para cada sistema, cómo se gestiona la puesta en marcha, el mantenimiento, la gestión y la retirada del servicio de las aplicaciones, cómo se gestionan los incidentes de seguridad, etc.

No, las cosas no andan por sí solas. Deben tener una razón de ser. Si no se cubren las necesidades organizativas y de planificación, poco importará que el Software sea Libre o Propietario.

La principal diferencia entre usar uno u otro posiblemente radicará no en si se tiene éxito o se fracasa, sino en las herramientas utilizadas para fracasar.