Los fabricantes de software de seguridad rechazan cualquier responsabilidad frente a sus fallos
En Kriptópolis hemos tratado el tema de la responsabilidad frente a los fallos del software en un par de artículos ("Código inseguro: ¿quién responde?", parte 1 y parte 2), y los lectores han dejado bien clara su opinión al respecto.
Dada la gravedad que pueden tener algunos fallos del software, lo único que está claro es que las empresas no quieren cargar con esa patata caliente. Sin embargo, los legisladores empiezan a considerar -con buen criterio- que la empresa que comercializa un software ha de responsabilizarse de las consecuencias de sus fallos, y cuesta entender por qué, en una sociedad donde todo el mundo debe responder de sus actos, los productores de software nos siguen obsequiando con licencias leoninas que descargan toda la responsabilidad en los usuarios.
Una propuesta del Comité de Ciencia y Tecnología de la Cámara de los Lores británica, acaba de poner a los fabricantes de software de seguridad en pie de guerra...
El Comité recomienda al gobierno de Su Majestad "mejorar los estándares del nuevo software y hardware mediante la adopción de los primeros pasos hacia el establecimiento de responsabilidades legales por daños resultantes de fallos de seguridad".
Como era de esperar, Symantec, Sophos y McAfee ya se han manifestado en contra de la propuesta. Pero también lo han hecho desarrolladores de código abierto como Alan Cox.
Por eso quizás el Comité acaba plegando un poco las velas, afirmando que "a corto plazo, recomendamos que tal responsabilidad sea impuesta a los fabricantes, con independencia de lo que digan las licencias de usuario, en aquellos casos en que pueda demostrarse negligencia. A largo plazo, mientras la industria madura, debería desarrollarse un marco completo de responsabilidad del fabricante y protección del consumidor".
- Security Firms Reject Liability [PC World].
- 1204 lecturas
Twitter
SI yo diseño un destilador
SI yo diseño un destilador mal o una caldera mal y mato de decenas o centenas de personas, no me evito ir a la cárcel. Tengo responsabilidad civil y penal. Creo que, salvo en el caso del software libre, deberían tener responsabilidad civil y penal.
No creo que una caldera
No creo que una caldera diseñada por ti pueda ser instalada en ninguna casa. Lo mismo ocurre con la construcción de edificios, líneas eléctricas, etc.
Si se plantean pedir responsabilidades lo primero que deberían hacer es legislar quien puede desarrollarlos. Lo cual debería depender de lo críticos que sean esos programas.
Un saludo,
--dieesrod.
SI podría dieesrod
SI podría dieesrod, es mi atribución profesional (ing. técn, industrial)
Precisamente
Precisamente, nosotros, los informáticos, no tenemos atribuciones profesionales... si nos menosprecia hasta para crear los nuevos marcos legislativos, al menos así ocurrió hace bien poco en españa.
Tu podrías pero yo no
Tu podrías pero yo no, tu eres Ing. Técnico Industrial y yo no. De la misma manera que me parece lógico que tu puedas y yo no, me parece lógico que si realizas un trabajo mal y matas a personas, o hay algún problema, tu tengas la responsabilidad.
¿Por que una persona no puede diseñar una caldera y si que puede desarrollar el sw que la controla?, también puede desarrollar el sw que controla un coche, un avión,etc.
La firma de projectos no existe en el diseño de aplicaciones informáticas, y mientras esto sea así me parece descabellado pedir resposabilidades.
Un saludo,
--dieesrod.
el problema
El problema es que parece haber un concenso general con respecto a la idea de que es imposible escribir software sin errores. Yo pienso que no es imposible del todo, que los errores se hacen más probables cuanto más código se escriba pero no es obligatorio que los haya siempre.
Tal vez una legislación que tomara en cuenta los factores involucrados podría servir, pero si se hace mal podría hacer mucho daño al software libre:
Para las empresas es algo normal guardar parte de sus ganancias para la contingencia de ser demandados por fallas en sus productos. De hecho, es bien sabido que a veces no corrigen las fallas porque consideran que es más barato pagar las demandas. Lo mismo podrían hacer las empresas fabricantes de software: simplemente subirían los precios y tendrían un fondo para cubrirse ante eventualidades.
Pero en el caso del software libre la cosa es distinta. Un estudiante que escribe un programa por puro gusto, si lo libera se arriesgaría a ser demandado por una falla en el mismo sin importar que en la licencia él hubiera advertido que el código era experimental o que no debía usarse en entornos de producción.
Las leyes deberían tomar esas advertencias en cuenta, pero aún así, lo que se lograría es que todo el software libre llevara la advertencia por las dudas, para cubrirse ante cualquier problema. Por ejemplo, ¿quién desarrollaría un módulo de iptables sabiendo que si comete un error podrían demandarlo por dejar abierto un agujero de seguridad gravísimo? Y si incluye una advertencia de que es experimental y no se debe confiar en él, ¿quién convence a una empresa de usar ese módulo? Una cosa así bien podría empujar a Linux a volverse sólo un pasatiempo para jugar en casa si muchos se toman al pie de la letra las advertencias.
Eso ya ocurre
Todo el software libre GNU (el resto me imagino que tambien) lleva una advertencia que indica que no se acepta responsabilidad de ningun tipo ni se garantiza el software para ningun cometido. Revisa la GPL.
Y a pesar de todo, ahi esta Linux. Y todos los modulos de Iptables, en produccion en multitud de empresas.
Vamos, que tampoco es tan raro. Que eso ya esta ocurriendo hoy, y las empresas lo usan a pesar de todo.
Eso sucede con todo el software
Eso sucede con todo el software, nadie se responsabiliza por nada y en gran parte tienen razón, no se pueden responsabilizar si trabajan sobre unas bases (ingenieria informatica) a la que le queda madurar mucho.
Se te ofrece un soporte que se responsabiliza de subsanar los problemas que surjan pero hasta encontrar seguros es complicado.
He escrito
He escrito el primer y tercer comentario pero quería añadir que estoy totalmente de acuerdo con la realidad e hipótesis futura que plasman en el segundo comentario.
Realmente es un serio problema lo del software libre como expreso en el artículo que he escrito.
No es lo mismo una licencia comercial que una licencia libre. Las cosas por su nombre.
Mi firewall que uso es mediante iptables y con un kernel compilado a posta, si algún amigo me pide ayuda o en su empresa necesita de mi ayuda, no le cobro y encima le ayudo... por qué he de tener problemas??? Pero si hago mal mi trabajo de Ing. Industrial... a la cárcel, y ahí estoy de acuerdo
Imagina
Imagina que vas por la carretera y ves un accidente. Te paras para echar una mano, y a una persona que no respira le practicas un masaje cardíaco. Esa persona muere y en la autopsia comprueban que con el masaje se le aplastaron las costillas y le produjo la muerte. Tu intención era buena pero el resultado de tus actos son otros, independientemente de lo que fuera a ocurrir sin tu intervención. Si la familia o el juez te considera culpable...
Lo mismo ocurre con la ayuda a tu amigo en la empresa. Si los resultados de tu ayuda producen efectos negativos en terceros están en su derecho de hacerte responsable.
O acaso si se incendia tu casa por un fallo en la instalación eléctrica, no denuncias al constructor, aunque la hubiera hecho su hijo que estaba en prácticas?