PDF de programación - Razones por las que el Estado Debe Usar Software Libre

Razones por las que el Estado Debe Usar Software

Libre

Resumen
Existen dos tipos predominantes de software: el libre y el propietario. Software libre es aquel respecto
del cual el usuario tiene amplios derechos de uso, difusión y modificación. El software propietario es
aquel que restringe los derechos del usuario al mero uso de su funcionalidad bajo condiciones
determinadas al solo criterio del dueño de los derechos de autor. Los derechos otorgados al usuario
bajo una licencia propietaria son insuficientes para las necesidades operativas del Estado. El software
libre ofrece ventajas de índole económica, social, operativa y de seguridad nacional que hacen
imperativo su uso en forma exclusiva en todas las áreas de la administración pública.

Software Libre y Software Propietario
El software, como mercadería, por lo general no está a la venta. Lo que el usuario adquiere, a través de
una erogación monetaria o sin ella, es una licencia respecto de los usos que puede dar a los programas
en cuestión. Nótese que esto es a diferencia de, por ejemplo, un libro o un disco, mercaderías en las
que el cliente adquiere título real sobre algo que puede prestar, regalar, revender, citar, alquilar,
resumir, etc.: al "comprar un programa", el usuario por regla general no adquiere derecho de propiedad
alguno, en muchos casos ni siquiera pasa a ser propietario del medio magnético u óptico en el que el
sofware es entregado, que continúa siendo propiedad del autor original.

La licencia de uso de un programa en particular regula las maneras en las que el usuario puede
utilizarlo. Si bien la variedad de tipos de licencia abarca todo el rango de posibilidades, desde las
condiciones más leoninas hasta las más liberales, se las puede clasificar en dos grandes categorías: por
un lado están las licencias conocidas como "libres", y por otro las "propietarias". La gran diferencia
entre estos tipos de licencia consiste en que un software licenciado de modo propietario por lo general
otorga al usuario solamente el derecho de ejecutar el programa "tal como es" (es decir, con errores
incluídos) en determinada computadora, prohibiendo expresamente todo otro uso, mientras que el
software gobernado por una licencia libre permite al usuario no solo ejecutar el programa en tantas
computadoras como desee, sino también copiarlo, inspeccionarlo, modificarlo, mejorarlo, corregir
errores y distribuirlo, o contratar a alguien para que lo haga por él.

Estos derechos adicionales son herramientas clave e indispensables de todo software que vaya a ser
usado en el entorno de la administración pública.

El Software y la Seguridad Nacional
Para cumplir con sus funciones, el Estado debe almacenar y procesar información relativa a los
ciudadanos. La relación entre el individuo y el Estado depende de la privacidad e integridad de estos
datos, que por consiguiente deben ser adecuadamente resguardados contra tres riesgos específicos:

Riesgo de filtración: los datos confidenciales deben ser tratados de tal manera que el acceso a
ellos sea posible exclusivamente para las personas e instituciones autorizadas.
Riesgo de imposibilidad de Acceso: los datos deben ser almacenados de tal forma que el acceso
a ellos por parte de las personas e instituciones autorizadas esté garantizado durante toda la vida
útil de la información.
Riesgo de manipulación: la modificación de los datos debe estar restringida, nuevamente, a las

personas e instituciones autorizadas.

La concreción de cualquiera de estas tres amenazas puede tener consecuencias graves tanto para el
Estado como para el individuo. Cuando los datos son procesados electrónicamente, su vulnerabilidad a
estos riesgos está dada por el software que lo procesa.

El Software Libre Atiende las Necesidades de la Seguridad Nacional
El software libre permite al usuario la inspección completa y exhaustiva del mecanismo mediante el
cual procesa los datos. El interés en el mecanismo de procesamiento es mucho más que académico. Sin
la posibilidad de la inspección, es imposible saber si el programa cumple meramente con su función, o
si además incluye vulnerabilidades intencionales o accidentales que permitan a terceros acceder
indebidamente a los datos, o impedir que los usuarios legítimos de la información puedan usarlo. Este
peligro puede parecer exótico, sin embargo es muy concreto, y hay antecedentes documentados.

El hecho de permitir la inspección del programa es una excelente medida de seguridad, ya que al estar
expuestos los mecanismos, estos están constantemente a la vista de profesionales capacitados, con lo
que se vuelve inmensamente más difícil ocultar funciones maliciosas, aún si el usuario final no se
toma el trabajo de buscarlas él mismo.

Al adquirir una licencia de uso de software propietario, en cambio, el usuario obtiene el derecho a
ejecutar el programa en una computadora, pero no a conocer el mecanismo mediante el que el
programa opera. Un elemento esencial de toda licencia propietaria es la prohibición expresa al
usuario de acaso intentar descubrir la manera en la que el programa funciona. Esta limitación puede
ser razonable para un programa de juego, pero es inaceptable en todos aquellos casos en los que el
programa maneja información útil, ya que al estar impedido de inspeccionarlo, al usuario sólo le queda
la posibilidad de confiar en que sus proveedores, y también todos y cada uno de los empleados de sus
proveedores, e incluso las entidades gubernamentales bajo las que su proveedores operan, se
comporten de manera impecable y priorizando la seguridad del cliente aún por encima de sus propios
intereses comerciales, nacionales o estratégicos. Esta confianza ya ha sido rota repetidas veces. Valgan
dos ejemplos de la larguísima lista, ambos ampliamente documentados:

La "Puerta Trasera" de Interbase
El sistema de base de datos conocido como "Interbase" fue comercializado por muchos años por la
firma Borland bajo una licencia propietaria, en la cual se prohibía al usuario la inspección del
programa. Durante el año 2000, sin embargo, Borland decidió publicar el programa bajo una licencia
libre, gracias a la cual el programa está hoy a disposición del público en general, y está siendo
sometido a escrutinio por programadores de todo el mundo. Recientemente, este escrutinio arrojó
como resultado que durante al menos seis años, Borland había entregado a sus clientes (clientes que
habían pagado por el privilegio de usar su software) un programa que contenía una "puerta trasera", es
decir un mecanismo oculto mediante el cual los conocedores del secreto podían forzar la entrada al
sistema y manipular los datos del cliente a su antojo.

Nunca quedó claro si la puerta trasera había sido instalada con conocimiento de la dirección de la
empresa o no. El hecho de haber hecho público el programa sin haber eliminado previamente esas
funciones (en cuanto evidencia incriminatoria) sugiere que éstas fueron incorporadas al producto por
algún programador anónimo, sin autorización de la empresa. De lo que no caben dudas es de que la
intención fue maliciosa, y los usuarios de este producto estuvieron, sin saberlo, varios años a merced
de los iniciados en el secreto. Hoy, gracias a que el programa está disponible bajo una licencia libre, la
puerta trasera pudo ser cerrada.

[Fuente: http://www.kb.cert.org/vuls/id/247371]

Windows NT Incluye una Clave Criptográfica Atribuible a la NSA
La National Security Agency (Agencia de Seguridad Nacional, más conocida como NSA) de los
EEUU es una poderosa entidad de contraespionaje, cuyas atribuciones incluyen, por ejemplo, la de
dejar temporariamente sin efecto las garantías constitucionales de los ciudadanos, y que restringe
fuertemente la comercialización de dispositivos de seguridad, en particular de encripción de datos. Es
gracias a la NSA que es ilegal exportar tecnología de encripción "fuerte" de datos desde de los EEUU,
salvo algunas excepciones. Una de estas excepciones es el software de seguridad incluído con
Microsoft Windows NT, que se comercializa bajo una licencia de tipo propietaria.

El mecanismo de seguridad de NT permite agregar mecanismos de encripción al sistema, pero sólo si
esos mecanismos han sido previamente "firmados" digitalmente por Microsoft Corp., lo que puede ser
interpretado como una medida razonable para asegurar al usuario que el mecanismo está intacto y no
ha sido alterado antes de la instalación.

El hecho de que esté prohibido analizar el funcionamiento de un programa no quiere decir que nadie lo
haga, y menos cuando de seguridad se trata. Especialistas en seguridad inspeccionaron, con gran
esfuerzo y probablemente en violación de la ley, el mecanismo de seguridad de Windows NT, y
descubrieron el lugar donde está almacenada la "clave pública" mediante la cual el programa puede
determinar si la "firma digital" es auténtica o no. Lo curioso es que descubrieron que, junto a esta
clave pública, había almacenada una segunda, de origen y función desconocidos. Esto llamó la
atención de alguna gente, pero siendo imposible determinar para qué servía la segunda clave, la cosa
pasó relativamente inadvertida.

Un tiempo después, Microsoft liberó el fatídico "Service Pack 5", una actualización del sistema
operativo, y lo puso a disposición del público a través de Internet. Lo particular del caso es que,
durante el proceso de producción de esta actualización, algún empleado de Microsoft se olvidó de
llevar a cabo un paso de "limpieza previa" de los programas. El objetivo de esta limpieza es eliminar
del programa todo rastro de los nombres con los que el programa se refiere a cada elemento de datos.
La omisión del paso de limpieza permitió a los especialistas originales corroborar que lo que habían
encontrado era la clave pública de Microsoft, ya que el sistema se refería a ese item de datos bajo el
nombre "MS_KEY" (abreviatra de "Microsoft Key", o "Clave de Microsoft"). La sorpresa fue grande,
sin ambargo, cuando vieron que el nombre de la segunda clave