¿Cómo podría nadie volver a confiar en Microsoft nunca más?

Me parece importantísimo lo que se explica en este artículo de Glyn Moody, por lo que me he tomado la molestia de traducirlo personalmente. NO es una traducción automática, ni tampoco he hecho una traducción literal (si esperas eso, mejor vete a la fuente original), he traducido el artículo expresando las ideas como he considerado que mejor se ajustan a lo que el autor dice, e incluso añadiendo algunas anotaciones en las cuestiones que considero que podían no entenderse correctamente. A continuación el artículo traducido:

Edward Snowden

Edward Snowden

A partir de los detalles revelados por Edward Snowden en el periódico "the Guardian" sobre el espionaje norteamericano, los usuarios que sepan leer entre líneas, pueden aprender muchas cosas. Por una parte se desmorona el argumento norteamericano de negar los hechos repetidamente ofreciendo su propia versión de la historia; ya que por primera vez Edward nos ofrece detalles sobre lo ocurrido, que antes sólo conocíamos por medio de filtraciones y rumores, si es que llegábamos a enterarnos.

Por otra parte, las prisas y los cambios constantes en la versión oficial de los hechos por parte del gobierno norteamericano, son la confirmación, por sí alguien aún tenia alguna duda, de que los datos de Edward Snowden son importantes.

Pero quizás lo más importante de todo, es que los periodistas por fin se han atrevido a realizar preguntas que deberían haber realizado hace años o incluso décadas.

Instalaciones generales de la NSA en Fort Meade, Maryland.

Instalaciones generales de la NSA en Fort Meade, Maryland. Wikipedia

Y todo esto ha desembocado en una serie de interesantísimas historias sobre el espionaje de la NSA (agencia nacional de seguridad americana), muchas de las cuales contienen datos concretos que casi son tan importantes como la historia principal. Como por ejemplo esta noticia que ha aparecido este fin de semana en "Bloomberg".

A parte de otras cosas, me resulta destacable lo que trata sobre Microsoft y su grado de responsabilidad e implicación por haber estado ayudando a la NSA a espiar a todo el mundo. Por supuesto esto no es nada nuevo, ya en 1999 se conocieron las "puertas traseras" que traían programados los Windows:

Un descuido por parte de los programadores de Microsoft ha revelado que hay software específicamente desarrollado por la NSA introducido secretamente en Windows. Estos programas de acceso remoto de la NSA han sido programados en todas las versiones del sistema operativo Windows actualmente en uso, exceptuando las primeras versiones de Windows 95 (y las anteriores) -Nota del Traductor: Es decir desde hace ya 18 años.-

Este descubrimiento es equiparable a las revelaciones de principios de año, de que otro gigante del software americano, Lotus, había incluido puertas traseras en su sistema "Notes" para proveer información de "ayuda" a la NSA; o equiparable a la importancia de la noticia de que ciertas funciones de seguridad, en otros sistemas de software, habían sido modificadas (debilitadas) intencionadamente.

Más recientemente, ha habido noticias sobre Skype, que fue comprada por Microsoft en mayo del 2011. Y en 2012 hubo discusiones sobre si Microsoft modifico la arquitectura de Skype para hacer más fácil la interceptación y seguimiento de conversaciones (la compañía incluso ha patentado la idea) y las últimas filtraciones parecen confirmar que estos temores estaban bien fundados, tal y como apunta Slate.

Hay muchos detalles llamativos en el articulo del Washington Post sobre PRISM y sus capacidades, pero hay una parte en particular que pone los pelos como escarpias. El periódico cita una presentación PowerPoint alto-secreto de la NSA, e indica que la agencia tiene una "Guía para la recolección de datos de Skype" (“User’s Guide for PRISM Skype Collection”) que esboza como se pueden escuchar las conversaciones de otras personas sin que lo sepan en Skype "cuando uno de los intermediarios de la llamada es un teléfono normal y para cualquier combinación de 'audio, video, chat y transferencia de archivos' cuando uno de los usuarios este conectado por ordenador".

Pero incluso todo esto queda insignificante comparado con la última información ofrecida en Bloomberg:

Microsoft Corp., la compañía de software mas grande del mundo proporciona a las agencias de inteligencia información sobre los fallos de seguridad en su conocido software antes de que se publiquen los parches, según han informado dos personas familiarizadas con el procedimiento. Esta información puede ser usada para proteger los ordenadores del gobierno, pero también para acceder a los ordenadores de los terroristas o fuerzas militares enemigas.

Frank Shaw

Frank Shaw

En Redmond, tanto Microsoft como otras compañías de seguridad en Internet han sido conscientes de este tipo de "preaviso" al gobierno americano para explotar las vulnerabilidades de su software, que ha sido vendido a gobiernos extranjeros, según dos informadores del gobierno que prefieren permanecer en el anonimato ya que el tema es confidencial. Además Microsoft no pregunta, y no puede saber cómo usa el gobierno estas "herramientas". La respuesta de Microsoft la ha dado Frank Shaw, portavoz, diciendo que esas versiones del software se realizaron en cooperación con varias agencias, y que están diseñadas por el gobierno para ofrecer una "rápida solución" para gestionar y reducir los riesgos.

Así pues, pensemos por un momento...

Las compañías y los gobiernos compran software de Microsoft, dependiendo de la compañía para crear programas seguros y fiables. Todo el mundo sabe que ningún software esta completamente libre de fallos, y los bugs se encuentran frecuentemente en el software de Microsoft (igual que en el software libre, por supuesto). Así qué el problema no es "¿qué software tiene fallos?" porque cualquier código, por pequeño que sea, los tiene. El problema está en la gente que produce ese software y como responden por él.

Las compañías y los gobiernos quieren que los fallos se corrijan lo antes posible, de manera que no puedan ser explotados por los criminales y provoquen daños en sus sistemas. Pero ahora sabemos que una de las primeras cosas que hace Microsoft es enviarles información sobre sus vulnerabilidad a "múltiples agencias" (seguramente incluidas la NSA y la CIA). Y además ahora sabemos que "estos tipos de avisos permiten al gobierno americano explotar las vulnerabilidades en el software vendido a los gobiernos extranjeros".

Y te recuerdo que "gobiernos extranjeros" son todos los países europeos además del resto (de hecho el gobierno inglés ha estado espiando "de manera amistosa", lo cual quiere decir que todos lo hacen). Además sería estúpido pensar que las agencias de seguridad del gobierno americano solamente han usado el conocimiento privilegiado de estos fallos para entrar en sistemas gubernamentales; ya que el espionaje industrial forma parte del ya antiguo sistema de vigilancia "Echelon", y no hay razón para pensar que el gobierno americano se contenga en estos aspectos a día de hoy (en todo caso, habrían intensificado su espionaje).

Todo esto significa que es altamente probable que las vulnerabilidades de los productos de Microsoft han sido usadas normalmente para para entrar en sistemas de gobiernos y empresas extranjeras con diferentes propósitos de espionaje. Así qué cada vez que una empresa instala un nuevo parche de Microsoft para arreglar los fallos de seguridad, seguramente alguien habrá usado esas vulnerabilidades para nefastos propósitos.

Las implicaciones de todo esto son realmente importantes. Las compañías compran productos de Microsoft por muchos motivos, pero ellos asumen que Microsoft hace todo lo que puede por protegerlos. Pero a la vista de los últimos hechos, todas esas suposiciones son mentira: Microsoft consciente y regularmente pasa información sobre como entrar en sus productos a las agencias norteamericanas. Lo que se hace con esa información es, por supuesto, secreto, pero no por ser asuntos de "terrorismo" sino porque es muy probable, que sea ilegal todo lo que hacen contra los gobiernos y empresas extrajeras.

Todo esto no es más que una enorme traición a la confianza que los usuarios han depositado en Microsoft, y dudo mucho que ningún informático pueda recomendar seriamente el uso de los productos de Microsoft, ahora que todos sabemos que son el objetivo de los ataques desde las agencias gubernamentales americanas, y que conocemos las enormes perdidas que pueden provocar a las compañías (tal y como ocurrió con Echelon). Pero hay otro interesante punto de vista. Aunque no se ha escrito mucho sobre ello (me incluyo, lo lamento) un nuevo acuerdo legal europeo que trata a los atacantes online, que tiene los siguientes aspectos:

El texto pide que los estados miembros europeos establezcan penas de prisión no inferiores a dos años para los crímenes de acceso ilegal o alteración de sistemas de información, alteración ilegal de datos, interceptación ilegal de la comunicaciones o producir y vender herramientas que permitan realizar estos actos.

"Acceso ilegal o alteración de los sistemas de información" parece ser precisamente lo que está haciendo el gobierno americano a los sistemas extranjeros y seguramente también los europeos. Lo cual indica que en el gobierno americano habría culpables según estas nuevas regulaciones. Pero quizás Microsoft también sea culpable ya que es quien provee las herramientas para el "acceso ilegal" en primer lugar. Y hay otro aspecto, supongamos que los espías americanos usan los fallos de los productos Microsoft para irrumpir en un sistema, y a través de este, espiar a un tercero. Sería posible que la compañía espiada en primer lugar fuera acusada de todos los crímenes realizados desde sus sistemas sin tener conocimiento de nada de lo que ocurría, pero siendo culpable. Probar la inocencia aquí seria muy difícil ya que sería ineludible que los sistemas de esa compañía fueron usados para espiar.

Por último, ese riesgo es otra buena razón para no volver a usar nunca más ningún software de Microsoft, ni ningún otro software que creen a partir de ahora durante varios años. No es sólo que el software libre sea más barato (especialmente ahora que tenemos en cuenta el coste dañino que implica el uso del software de Microsoft), sino que además está mejor escrito, es más rápido, es más eficiente y más seguro, pero por encima de todo, lo más importante es que el software libre respeta a los usuarios otorgándoles el verdadero control de sus máquinas.

Esto también te libra de los problemas de que la empresa que te proporciona el software, por el que tu has pagado, este permitiendo a otros acceder a tus sistemas en tu perjuicio. Después de todo la mayoría de los programadores que se encargan de corregir fallos en el software libre tienen muy poco aprecio por la autoridad gubernamental, así que están completamente en contra de permitir las vulnerabilidades que quiere la NSA y que Microsoft les ha facilitado.

 Después de todo esto, que no es nada nuevo para algunos, yo me pregunto otra vez ¿cómo pueden tener las administraciones públicas españolas la cara dura de seguir justificando la compra de software de Microsoft?