Seguridad nacional y los acuerdos con empresas de software privativo

Por Fernando Acero

El pasado día 8 de febrero, y en un céntrico club madrileño, se escenificó cara al público, un nuevo acuerdo entre el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia, y la multinacional del software Microsoft.

Esta relación entre el CCN y Microsoft no es nueva; comenzó en el año 2004 con la firma del acuerdo para el acceso al código fuente de Windows. A esta firma le siguió, en 2006, la del acuerdo para acceder al código fuente de la "Suite" ofimática Office. La del pasado día 8, que abre una vía de colaboración entre la Administración y Microsoft, tiene la intención de prevenir y dar respuesta a incidentes de seguridad informática que puedan afectar a la seguridad pública y nacional. El objetivo sería garantizar el funcionamiento eficaz de las Tecnologías de la Información y las Comunicaciones (TIC) que están al servicio del ciudadano y de los intereses nacionales. Todas estas iniciativas se enmarcan en el "Goverment Security Program" (GSP), o en el "Security Cooperation Program" (SCP), que Microsoft ofrece a gobiernos de todo el mundo. En palabras de D. Luis Jiménez, subdirector general adjunto del Centro Criptológico Nacional del Centro Nacional de Inteligencia:

Este acuerdo ratifica públicamente el compromiso del Centro de garantizar la seguridad de las Tecnologías de la Información en el ámbito de la Administración, para lo cual, se necesita trabajar en un entorno de colaboración entre la industria y los gobiernos. El intercambio de información y su posterior análisis entre el CCN-CERT y Microsoft se utilizará para ayudar a prevenir cualquier ataque, anticiparse en lo posible a ellos y, en caso de que se produzcan, dar una respuesta rápida para mitigar los efectos.

Sin entrar a analizar los posibles beneficios del acuerdo firmado, da la impresión de que se piensan poner recursos públicos para mejorar los productos de una multinacional extranjera, al menos en lo que se refiere a la seguridad. También es cierto que este acuerdo ha sido firmado por otros 44 países antes que España, que se supone que harán lo mismo que nosotros, es decir, intentar colaborar para mejorar la seguridad de los programas de Microsoft. No obstante, dicho esfuerzo, si se dedicase al Software Libre, podría tener efectos mutiplicadores cara a la seguridad global y al mismo tiempo se tendría una mejor imagen en lo que se refiere al uso de los recursos públicos, pero parece que en este momento nos encontramos a años luz de considerar que esto puede ser de este modo...

Durante el acto de firma, se hicieron varias declaraciones y las de Dña. Rosa García, Presidenta de Microsoft Ibérica, me hicieron reflexionar seriamente sobre los posibles problemas de seguridad nacional que se pueden derivar del uso masivo de determinado software. Doña Rosa dijo algo que considero que puede que no quisiera haber dicho en este foro, pero también es cierto que es rigurosamente cierto y no menos alarmante:

Todos recordamos los estragos que virus de alta peligrosidad pueden causar , propagándose por Internet, llegando a afectar en ocasiones a cientos de miles de PCs y sistemas de particulares, empresas e instituciones públicas, o el lucrativo objetivo de los ataques actuales. La era digital ha abierto la puerta a nuevas formas de servir al ciudadano, comunicarse y cooperar de forma global, pero también ha creado el reto de garantizar de forma adecuada la seguridad de los sistemas públicos. Desde Microsoft creemos que este acuerdo, basado en la colaboración y la combinación de esfuerzos entre el sector público y el privado, puede ayudar al Gobierno español a prepararse, gestionar y minimizar de forma óptima el impacto de los incidentes de seguridad

Cuando leí estas palabras en la prensa, me llamó la atención que dijera: puede ayudar al Gobierno, como si no estuviera segura de que la medida sirviera realmente para algo y al rato, me vinieron a la mente dos publicaciones muy relevantes al caso y que conozco bien. Por un parte, la Revisión Estratégica de la Defensa, que en su apartado "Otros Riesgos" dice lo siguiente:

c. Los ataques cibernéticos

La economía mundial, fuertemente globalizada, depende del intercambio amplio de información, cuya interrupción provocaría problemas comparables a los ocasionados por la alteración del flujo de los recursos básicos.

La vulnerabilidad estratégica que supone este tipo de amenazas comprende especialmente dos campos. Por un lado, los ataques contra los sistemas que regulan infraestructuras básicas para el funcionamiento de un país como el sabotaje de los servicios públicos, la paralización de la red de transporte ferroviario o la interrupción de la energía eléctrica a una gran ciudad suponen un serio quebranto para la normalidad y la seguridad de una sociedad avanzada.

En consecuencia, todas las infraestructuras básicas deben dotarse de elementos de protección suficientes para poder neutralizar este tipo de agresiones cuando su funcionamiento depende de complejos sistemas informáticos y de comunicaciones. Por otro lado, la penetración en la red de comunicación, mando y control de las Fuerzas Armadas, en el sistema nacional de gestión de crisis o en las bases de datos de los servicios de inteligencia puede suponer una amenaza directa a la seguridad nacional. Por tanto, las Fuerzas Armadas deben dotarse de las capacidades necesarias para impedir cualquier tipo de agresión cibernética que pueda amenazar la seguridad nacional.

Por otro lado, el excelente documento CyberInsecurity: The Cost of Monopoly de Bruce Schneier y otros, en el que se analizan los riesgos para la seguridad que se derivan de la adopción de un software que es un monopolio global. De hecho, si atendemos a lo que dice el Informe Reina de 2007 y analizamos los sistemas operativos instalados en la Administración española en 2006 comprobamos lo siguiente:

El 50% de los sistemas grandes instalados en 2006 tenían sistema operativo Unix y el otros 50% Linux. En la gama de sistemas medios, disminuye muy significativamente el número de equipos Unix instalados en 2006, situándose tan solo en el 15%. Asistimos, por el contrario, a un importante incremento de equipos Windows que se sitúan en el 68% en total. También es de destacar, el 10% de equipos Linux instalados en 2006. En la gama de sistemas pequeños observamos un significativo incremento de equipos Windows XP que se sitúa en primera posición con una cuota del 40%. En conjunto los equipos Windows se sitúan en el 78%. Los equipos Linux bajan al 16% mientras que Unix alcanza una cuota inferior al 6%. Por último, la distribución de sistemas operativos instalados en ordenadores personales en 2006. Windows XP acapara el 71% de este parque y Windows 2000 el 22%. Un escandaloso 93% global, para un parque de ordenadores personales que se usa principalmente para tareas ofimáticas y que podría funcionar sin problemas con Software Libre, como ya han hecho otros países.

Es decir, que la neutralidad tecnológica y la capacidad de protección "genética" en los sistemas de la Administración Española brillan por su ausencia. Quedando claro en este punto, que los sistemas medios, pequeños y personales, en su gran mayoría, funcionan con sistemas operativos y programas de Microsoft, o lo que es lo mismo, cuando aparece una vulnerabilidad, todos son vulnerables al mismo tiempo y se depende de la empresa fabricante para solucionar el problema. Si analizamos todo lo anterior debemos estar preocupados y la declaración de Dña. Rosa podría reescribirse de este modo, para que sea más evidente lo que hemos visto:

Todos recordamos los estragos que virus de alta peligrosidad pueden causar, propagándose por Internet, llegando a afectar en ocasiones a cientos de miles de PCs (con Windows) y sistemas de particulares (no amparados por el acuerdo con el CNI/CCN), empresas (tampoco amparadas por el acuerdo con el CNI/CCN) e instituciones públicas, o el lucrativo objetivo de los ataques actuales (cuyo objetivo principal suelen ser las cuentas y la información con valor económico de los ciudadanos)...

Pero de un modo u otro, este acuerdo reconoce y pone en evidencia dos cosas que considero interesante destacar. En cierto modo, nos da la razón a los que defendemos el uso del Software Libre para mejorar la delicada seguridad de los sistemas de la Administración, por estos dos motivos:

a) El uso masivo de sistemas basados en Windows, en determinadas circunstancias, pueden llegar a suponer un serio riesgo para la seguridad nacional, de las administraciones públicas y de los ciudadanos. Un fallo de seguridad durante la ventana de exposición, afectará a millones de ordenadores de forma simultánea. Por ello, se justifica que sea necesario tomar medidas extraordinarias, como por ejemplo, este acuerdo de colaboración firmado entre el CNI/CCN y Microsoft.

b) Del mismo modo, con estos acuerdos se reconoce y consagra como medida positiva e indispensable, para mejorar la seguridad de los sistemas informáticos de la Administración, el tener acceso al código fuente de los programas. Asimismo, también se considera como algo positivo la posibilidad de colaborar en la depuración y mejora del código por parte de las Administraciones Públicas. Objetivos que se logran directamente con el Software Libre y sin necesidad de firmar acuerdos, ni de disponer de tiempo, dinero y personal de la Administración, para solucionar los fallos de seguridad de productos informáticos de empresas, que todo hay que decirlo, no nos regalan el software.

Tampoco debemos olvidar otras ventajas del Software Libre, que no tienen equivalencia en el software propietario y que pueden ser muy interesantes para dar una respuesta rápida a incidentes de seguridad. Por mucha colaboración y comunicación que se establezca entre la Administración y las empresas de software privativo, la solución solamente depende, y dependerá siempre, de la empresa y de sus políticas, o lo que es lo mismo, al final, estaremos poniendo la seguridad nacional, o de las administraciones publicas y los ciudadanos, en manos de una o de varias empresas, que además, como es el caso que nos ocupa, pueden ser extranjeras.

No entraremos aquí en la vana discusión sobre si el Software Libre es más seguro que el propietario o viceversa; simplemente diremos algo que parece evidente a la vista de lo visto anteriormente, el Software Libre hace que sea mucho más sencillo, rápido y transparente, el lograr la seguridad deseada en los sistemas de la Administración.

Si queremos mejorar la seguridad de los sistemas y poder responder rápidamente a los incidentes de seguridad, debemos considerar que hay informes y estudios que demuestran que los incidentes y los fallos de seguridad asociados, se solucionan más rápidamente con el Software libre. Asimismo, el diseño modular de los sistemas Libres, como ya destacaba la OTAN en un estudio sobre nuevas tecnologías aplicables a la defensa, nos permite desactivar los programas comprometidos, hasta lograr una solución adecuada, minimizando así el impacto de estos fallos sobre nuestra seguridad.

Sin embargo, como se pudo comprobar con los ataques que sufrió Estonia, que en su mayoría fueron denegaciones de servicio dirigidas desde "bootnets", la falta de seguridad en los sistemas domésticos también puede afectar, y muy seriamente, a la seguridad nacional. Recordemos que en el ámbito doméstico tambien es evidente que la mayoría de los sistemas están ejecutando software de Microsoft. Es posible que las hipotéticas mejoras en la seguridad que se logren con éste y otros acuerdos, redunden a la larga en la seguridad de los ciudadanos, pero debe quedar claro que la seguridad de los sistemas domésticos, o de las empresas, no es competencia directa del CCN.

Desgraciadamente, según informe del Inteco, el 70% de los ordenadores domésticos está infectado por malware. Y en esta complicada y penosa situación ¿podemos estar medianamente seguros de que no acabará siendo un serio problema el uso de la firma electrónica?. También es cierto, que en la historia reciente se han producido incidentes de seguridad que han afectado a la seguridad nacional de países de nuestro entorno, países que también disponen de acuerdos similares al suscrito por España y en los que han intervenido de forma decisiva los programas y los sistemas operativos de Microsoft.

El acuerdo firmado entre el CCN y Microsoft no dudo de que sea necesario dada la enorme predominancia de los sistemas de Microsoft y la manifiesta e injustificable falta de neutralidad tecnológica de la Administración española, algo que cara a la seguridad, se debería corregir de algún modo y con la máxima urgencia. Pero la migración al software libre, es algo que recomiendan muchos informes independientes y es algo que ya están haciendo algunos países, que al parecer, tienen las ideas más claras que nosotros. Un ejemplo lo tenemos en los EEUU, que han decidido usar software de código abierto en el sistema operativo que usarán sus ejércitos en las guerras del futuro. Sin embargo, está por comprobar que éste y otros acuerdos suscritos con las empresas de software propietario, tengan el impacto deseado en la mejora de la seguridad real de los sistemas informáticos de la Administración. De hecho, los incidentes de seguridad, algunos graves, se suceden casi a diario y en las estadísticas ordenadores comprometidos, los españoles comenzamos a tener un predominante y peligroso puesto.

No me cabe la menor duda, de que éste y otros acuerdos serían innecesarios si se apostase firmemente por el uso del Software Libre en la Administración y sociedad española. Estas libertades, que se materializan en estos acuerdos y que se consideran tan interesantes y positivas para la seguridad nacional, no debemos olvidar que están plenamente incluidas en las licencias libres como la GPL. Al igual que otras muchas libertades igualmente interesantes, que no estarán, ni podrán estar nunca en estos acuerdos firmados entre las administraciones o gobiernos y las empresas de software privativo. El mero hecho de poder eliminar el estorbo que pueden suponer las licencias propietarias y otras regalías, a la hora de tomar medidas de seguridad rápidas y contundentes, debería ser considerado seriamente si pensamos en la seguridad de sistemas críticos de la Administración.

Por ello, estoy plenamente de acuerdo con lo que dice D. Carlos Castro de la Junta de Extremadura, no apostar por el Software Libre en España, es una estupidez, algo que bien se puede aplicar a los sistemas de la Administración y a los domésticos, pero que tampoco estaría mal que el ejemplo viniera de la Administración.

Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved