Cómo obligar a la industria tecnológica a vender productos más seguros (y mejores)
¿Qué sistema operativo debería tener en mi móvil? ¿Qué aplicaciones protegen mi privacidad? ¿Cómo puedo saber si un programa hace lo que dice que hace y, sobre todo, que no hace lo que no queremos que haga cuando voy a comprarlo a una tienda? ¿Qué empresa se preocupa por la seguridad de mis datos, de mi familia o de mi empresa?
Lo cierto es que, en una era marcada el espionaje masivo, el secuestro de datos y los ciberataques a escala planetaria, no hay manera de saber si el software que instalamos en nuestro portátil, bajamos a nuestro móvil o conectamos a nuestro router es seguro antes de probarlo. Por suerte, como cada diciembre, entre navidad y fin de año, el Chaos Communication Congress acoge varias charlas, talleres y encuentros dedicados a esta peliaguda cuestión. Este año, el número 34 y el primero en Leipzig, no ha sido excepción.
Ahora, las respuestas del mayor congreso de hackers de Europa suelen ser “aterradoramente técnicas”. Para compensar, el Cyber Independent Testing Lab llega al 34c3 con una propuesta razonable para no iniciados: pegatinas. Su plan es crear un sistema de evaluación normalizado y obligatorio para los productos tecnológico que ayude al usuario a elegir productos más seguros en un mercado dominado por la compraventa de datos personales.
El CITL es una organización cuya misión es “mejorar el nivel de seguridad del software proporcionando al público información veraz sobre el software más popular”. De esa manera, el usuario podrá saber en la tienda qué tecnologías cumplen determinados estándares, sin tener que ser ingeniero, maquinitas o programador.
El ciclo invisible del software
“Cuando lanzas un software, le estas diciendo al usuario que dicho software está listo para ser usado”, explica Tim Carstens en la charla. Lo cierto es que todo software que sale nuevo al mercado es una beta, y cada “early adopter”, un betatester involuntario. Con los meses, el software será mejorado a base de parches y actualizaciones, pero el usuario no sabe en qué estado está el que compra cuando lo compra. Como decía un usuario de Twitter hace unos días, una silla del Ikea de 20 dólares está más regulada que toda la industria tecnológica al completo.
En el mundo del software libre, este ciclo de vida del software se reconoce con tres niveles de desarrollo: inestable, en pruebas y estable. El usuario típico de la versión inestable suele ser un desarrollador que se arriesga con un software recién salido del sabiendo que podría dar problemas. El usuario que no quiere tener problemas usa la versión estable, que lleva años de prueba y error. Y el usuario que quiere cosas nuevas pero sin pasarse opta por la versión “en pruebas”, que tiene algunos flecos pero no le reventará el ordenador.
En el mundo del software privativo y comercial, todo se etiqueta como estable, aunque casi nunca lo es. Este problema es doblemente grave con el Internet de las Cosas, cuya regulación ha sido aparcada por hasta por la Comisión Europea. El brazo ejecutivo de la UE considera que obligar a las empresas a cumplir mínimos de seguridad podría frenar una industria en plena efervescencia.
Esta falta de regulación es la que permite vender muñecas con las que se puede espiar a los niños, dejando al usuario con publicidad como única fuente de información sobre el producto. La propuesta es introducir la misma clase de etiquetado que se usa en la industria del automóvil, los electrodomésticos o la alimentación. De esta manera, el usuario podrá decidir si quiere meter una muñeca espía en su casa. O una nevera inteligente, vehículo programable, ropa quántica, fitbits, cámaras, relojes y, en general, cualquier objeto que abra una ventana a su vidas y sea susceptible de ser hackeado.
Información contrastada, relevante y punible
No será fácil. Para que funcione, la etiqueta contiene la información relevante, esta basada en datos veraces (no opiniones) y su alteración, falsificación, invención o ausencia es punible. El principal problema es que la clase de informe que maneja la industria es demasiado complejo, contiene demasiada información. Requiere improbables conocimientos técnicos.
Como muestra involuntaria, la explicación de Carstens sobre cómo los detalles en esas tablas reflejan las distintas culturas de empresas como Google o Microsoft es evidente para los técnicos, fascinante para los iniciados y soporífera para el usuario de a pie.
Otro problema es, naturalmente, que el software privativo es una caja cerrada. Si las empresas se someten a una auditoría controlada que revise sus promesas antes de salir al mercado, los usuarios ya no tienen que confiar a ciegas en que dicen y hacen lo que pone la caja. Que la receta de la Coca-Cola sea secreta no exime a la compañía de pasar los controles de seguridad alimentaria y aportar las etiquetas correspondientes.
Teóricamente, un etiquetado riguroso obligaría a las empresas a ofrecer mejores productos, premiando a las que ya lo hacen y castigando a las que han crecido en el mercado invirtiendo esos recursos en publicidad. En la segunda mitad de la charla, Parker Thompson despieza ordenadamente la estrategia que quieren seguir para producir este tipo de información.
Advertencia: superinteresante para programadores, soporíficamente dura para los legos. Carstens termina contanto lo que pasa cuando vuelcan su proceso sobre Firefox y distintas distribuciones de Linux.