07 septiembre 2007

Troyanos gubernamentales

Hoy quiero comentar brevemente toda la serie de noticias que han ido apareciendo durante los últimos días en relación a la existencia y utilización de software espía por parte de algunos gobiernos. Y creo que un buen punto de partida para argumentar mi posición es esta noticia, que recoge una postura crítica ante esta idea.

En primer lugar, y como puntualización, creo que es incorrecto hablar de troyanos. Aquí hay spyware, sí, pero en ningún momento se afirma que se haga pasar por software lícito. Vamos, que no hay “caballo”, sólo “soldados” que se infiltran en la “ciudad”. Pero ya que es el término que se está utilizando, lo mantengo en el título.

Por otra parte, reitero mi postura de que el software es neutral. En este caso, estamos hablando de un software que se usa para monitorizar exhaustivamente equipos remotos. De aquí a que esta monitorización se use para hacer un seguimiento de la actividad del usuario sin que este sea consciente ya va un trecho, y sólo ahora llegamos a la finalidad del software. Socialmente se considera que dicha finalidad es ilícita, y es por eso los fabricantes de soluciones de seguridad tratan de eliminarlo. Ahora bien: es realmente ilícita esta actuación? Las recientes noticias parece que lo ponen en duda, porque en realidad lo que se acaba valorando es la intencionalidad de dicha monitorización: sólo es ilícita si no se lleva a cabo por el bien de la persona monitorizada (sin entrar en si dicho “espionaje” lo realiza un gobierno o una empresa, que también existe).

Cuál es el problema? Precisamente, la neutralidad del software. Nadie asegura que las mismas herramientas se sigan usando de acuerdo a las intenciones iniciales, ni que las puertas abiertas para unos (con fines teóricamente lícitos, al menos para el gobierno en cuestión) las puedan aprovechar otros con fines ilícitos. Qué postura deben adoptar los fabricantes de software de seguridad? No introducir firmas para el spyware “legal”? Crear listas blancas de firmas? Y si algún spyware “malicioso” consigue “parecerse” lo suficiente al spyware legal? Seguro que es más fácil que ocultarse…

En resumen, el caso es que no estamos ante un problema técnico, sino principalmente legal y ético. Las mismas acciones deben ser legales o ilegales por defecto en función de quién las ejecute? Es un tema que se debería resolver en entornos legislativos y jurídicos, y permitir (e incentivar) a los fabricantes de software de seguridad que, por defecto, sigan protegiendo lo mejor posible la actividad informática de cualquier persona, sin excepciones. Al fin y al cabo, ya es suficiente con tratar de no perder mucho terreno frente al malware, como para empezar a poner obstáculos en una carrera en la que la desventaja ya es significativa… sobre todo, mientras hacer negocio con el malware siga siendo tan asequible.

Actualización: Según un juez, parece que el spyware sí es spyware, y los fabricantes hacen bien en catalogarlo como tal. Mantendrán esa misma postura si el spyware es gubernamental en lugar de privado?

1 comentario:

deincognito dijo...

Joseba,

Legalmente el problema está ya resuelto. Todo gira en el ánimo y en las condiciones que rodean al uso.
Lo normal es que cuando se usan estas herramientas están vulnerándose derechos fundamentales como el derecho a la intimidad, el secreto de las comunicaciones o la privacidad, cosa que no sucede si ha habido transparencia por quien las usa y autorización legal (dentro de los límites válidos, léase por ejemplo seguridad nacional) o aceptación por quien ha sido objeto de su procesamiento.

Piensa en el hacking de sombrero blanco y en el hacking de sombrero negro. Por otra parte, el desarrollo de estas herramientas en sí no supone un delito, y si me apuras hasta puede considerarse un ejercicio de la libertad de expresión.