¿Cómo podría nadie volver a confiar en Microsoft nunca más?

Me parece importantísimo lo que se explica en este artículo de Glyn Moody, por lo que me he tomado la molestia de traducirlo personalmente. NO es una traducción automática, ni tampoco he hecho una traducción literal (si esperas eso, mejor vete a la fuente original), he traducido el artículo expresando las ideas como he considerado que mejor se ajustan a lo que el autor dice, e incluso añadiendo algunas anotaciones en las cuestiones que considero que podían no entenderse correctamente. A continuación el artículo traducido:

Edward Snowden

Edward Snowden

A partir de los detalles revelados por Edward Snowden en el periódico "the Guardian" sobre el espionaje norteamericano, los usuarios que sepan leer entre líneas, pueden aprender muchas cosas. Por una parte se desmorona el argumento norteamericano de negar los hechos repetidamente ofreciendo su propia versión de la historia; ya que por primera vez Edward nos ofrece detalles sobre lo ocurrido, que antes sólo conocíamos por medio de filtraciones y rumores, si es que llegábamos a enterarnos.

Por otra parte, las prisas y los cambios constantes en la versión oficial de los hechos por parte del gobierno norteamericano, son la confirmación, por sí alguien aún tenia alguna duda, de que los datos de Edward Snowden son importantes.

Pero quizás lo más importante de todo, es que los periodistas por fin se han atrevido a realizar preguntas que deberían haber realizado hace años o incluso décadas.

Instalaciones generales de la NSA en Fort Meade, Maryland.

Instalaciones generales de la NSA en Fort Meade, Maryland. Wikipedia

Y todo esto ha desembocado en una serie de interesantísimas historias sobre el espionaje de la NSA (agencia nacional de seguridad americana), muchas de las cuales contienen datos concretos que casi son tan importantes como la historia principal. Como por ejemplo esta noticia que ha aparecido este fin de semana en "Bloomberg".

A parte de otras cosas, me resulta destacable lo que trata sobre Microsoft y su grado de responsabilidad e implicación por haber estado ayudando a la NSA a espiar a todo el mundo. Por supuesto esto no es nada nuevo, ya en 1999 se conocieron las "puertas traseras" que traían programados los Windows:

Un descuido por parte de los programadores de Microsoft ha revelado que hay software específicamente desarrollado por la NSA introducido secretamente en Windows. Estos programas de acceso remoto de la NSA han sido programados en todas las versiones del sistema operativo Windows actualmente en uso, exceptuando las primeras versiones de Windows 95 (y las anteriores) -Nota del Traductor: Es decir desde hace ya 18 años.-

Este descubrimiento es equiparable a las revelaciones de principios de año, de que otro gigante del software americano, Lotus, había incluido puertas traseras en su sistema "Notes" para proveer información de "ayuda" a la NSA; o equiparable a la importancia de la noticia de que ciertas funciones de seguridad, en otros sistemas de software, habían sido modificadas (debilitadas) intencionadamente.

Más recientemente, ha habido noticias sobre Skype, que fue comprada por Microsoft en mayo del 2011. Y en 2012 hubo discusiones sobre si Microsoft modifico la arquitectura de Skype para hacer más fácil la interceptación y seguimiento de conversaciones (la compañía incluso ha patentado la idea) y las últimas filtraciones parecen confirmar que estos temores estaban bien fundados, tal y como apunta Slate.

Hay muchos detalles llamativos en el articulo del Washington Post sobre PRISM y sus capacidades, pero hay una parte en particular que pone los pelos como escarpias. El periódico cita una presentación PowerPoint alto-secreto de la NSA, e indica que la agencia tiene una "Guía para la recolección de datos de Skype" (“User’s Guide for PRISM Skype Collection”) que esboza como se pueden escuchar las conversaciones de otras personas sin que lo sepan en Skype "cuando uno de los intermediarios de la llamada es un teléfono normal y para cualquier combinación de 'audio, video, chat y transferencia de archivos' cuando uno de los usuarios este conectado por ordenador".

Pero incluso todo esto queda insignificante comparado con la última información ofrecida en Bloomberg:

Microsoft Corp., la compañía de software mas grande del mundo proporciona a las agencias de inteligencia información sobre los fallos de seguridad en su conocido software antes de que se publiquen los parches, según han informado dos personas familiarizadas con el procedimiento. Esta información puede ser usada para proteger los ordenadores del gobierno, pero también para acceder a los ordenadores de los terroristas o fuerzas militares enemigas.

Frank Shaw

Frank Shaw

En Redmond, tanto Microsoft como otras compañías de seguridad en Internet han sido conscientes de este tipo de "preaviso" al gobierno americano para explotar las vulnerabilidades de su software, que ha sido vendido a gobiernos extranjeros, según dos informadores del gobierno que prefieren permanecer en el anonimato ya que el tema es confidencial. Además Microsoft no pregunta, y no puede saber cómo usa el gobierno estas "herramientas". La respuesta de Microsoft la ha dado Frank Shaw, portavoz, diciendo que esas versiones del software se realizaron en cooperación con varias agencias, y que están diseñadas por el gobierno para ofrecer una "rápida solución" para gestionar y reducir los riesgos.

Así pues, pensemos por un momento...

Las compañías y los gobiernos compran software de Microsoft, dependiendo de la compañía para crear programas seguros y fiables. Todo el mundo sabe que ningún software esta completamente libre de fallos, y los bugs se encuentran frecuentemente en el software de Microsoft (igual que en el software libre, por supuesto). Así qué el problema no es "¿qué software tiene fallos?" porque cualquier código, por pequeño que sea, los tiene. El problema está en la gente que produce ese software y como responden por él.

Las compañías y los gobiernos quieren que los fallos se corrijan lo antes posible, de manera que no puedan ser explotados por los criminales y provoquen daños en sus sistemas. Pero ahora sabemos que una de las primeras cosas que hace Microsoft es enviarles información sobre sus vulnerabilidad a "múltiples agencias" (seguramente incluidas la NSA y la CIA). Y además ahora sabemos que "estos tipos de avisos permiten al gobierno americano explotar las vulnerabilidades en el software vendido a los gobiernos extranjeros".

Y te recuerdo que "gobiernos extranjeros" son todos los países europeos además del resto (de hecho el gobierno inglés ha estado espiando "de manera amistosa", lo cual quiere decir que todos lo hacen). Además sería estúpido pensar que las agencias de seguridad del gobierno americano solamente han usado el conocimiento privilegiado de estos fallos para entrar en sistemas gubernamentales; ya que el espionaje industrial forma parte del ya antiguo sistema de vigilancia "Echelon", y no hay razón para pensar que el gobierno americano se contenga en estos aspectos a día de hoy (en todo caso, habrían intensificado su espionaje).

Todo esto significa que es altamente probable que las vulnerabilidades de los productos de Microsoft han sido usadas normalmente para para entrar en sistemas de gobiernos y empresas extranjeras con diferentes propósitos de espionaje. Así qué cada vez que una empresa instala un nuevo parche de Microsoft para arreglar los fallos de seguridad, seguramente alguien habrá usado esas vulnerabilidades para nefastos propósitos.

Las implicaciones de todo esto son realmente importantes. Las compañías compran productos de Microsoft por muchos motivos, pero ellos asumen que Microsoft hace todo lo que puede por protegerlos. Pero a la vista de los últimos hechos, todas esas suposiciones son mentira: Microsoft consciente y regularmente pasa información sobre como entrar en sus productos a las agencias norteamericanas. Lo que se hace con esa información es, por supuesto, secreto, pero no por ser asuntos de "terrorismo" sino porque es muy probable, que sea ilegal todo lo que hacen contra los gobiernos y empresas extrajeras.

Todo esto no es más que una enorme traición a la confianza que los usuarios han depositado en Microsoft, y dudo mucho que ningún informático pueda recomendar seriamente el uso de los productos de Microsoft, ahora que todos sabemos que son el objetivo de los ataques desde las agencias gubernamentales americanas, y que conocemos las enormes perdidas que pueden provocar a las compañías (tal y como ocurrió con Echelon). Pero hay otro interesante punto de vista. Aunque no se ha escrito mucho sobre ello (me incluyo, lo lamento) un nuevo acuerdo legal europeo que trata a los atacantes online, que tiene los siguientes aspectos:

El texto pide que los estados miembros europeos establezcan penas de prisión no inferiores a dos años para los crímenes de acceso ilegal o alteración de sistemas de información, alteración ilegal de datos, interceptación ilegal de la comunicaciones o producir y vender herramientas que permitan realizar estos actos.

"Acceso ilegal o alteración de los sistemas de información" parece ser precisamente lo que está haciendo el gobierno americano a los sistemas extranjeros y seguramente también los europeos. Lo cual indica que en el gobierno americano habría culpables según estas nuevas regulaciones. Pero quizás Microsoft también sea culpable ya que es quien provee las herramientas para el "acceso ilegal" en primer lugar. Y hay otro aspecto, supongamos que los espías americanos usan los fallos de los productos Microsoft para irrumpir en un sistema, y a través de este, espiar a un tercero. Sería posible que la compañía espiada en primer lugar fuera acusada de todos los crímenes realizados desde sus sistemas sin tener conocimiento de nada de lo que ocurría, pero siendo culpable. Probar la inocencia aquí seria muy difícil ya que sería ineludible que los sistemas de esa compañía fueron usados para espiar.

Por último, ese riesgo es otra buena razón para no volver a usar nunca más ningún software de Microsoft, ni ningún otro software que creen a partir de ahora durante varios años. No es sólo que el software libre sea más barato (especialmente ahora que tenemos en cuenta el coste dañino que implica el uso del software de Microsoft), sino que además está mejor escrito, es más rápido, es más eficiente y más seguro, pero por encima de todo, lo más importante es que el software libre respeta a los usuarios otorgándoles el verdadero control de sus máquinas.

Esto también te libra de los problemas de que la empresa que te proporciona el software, por el que tu has pagado, este permitiendo a otros acceder a tus sistemas en tu perjuicio. Después de todo la mayoría de los programadores que se encargan de corregir fallos en el software libre tienen muy poco aprecio por la autoridad gubernamental, así que están completamente en contra de permitir las vulnerabilidades que quiere la NSA y que Microsoft les ha facilitado.

 Después de todo esto, que no es nada nuevo para algunos, yo me pregunto otra vez ¿cómo pueden tener las administraciones públicas españolas la cara dura de seguir justificando la compra de software de Microsoft?

Mi PLE sobre mi Identidad Digital

A continuación publico mi PLE (Personal Learning Enviroment) sobre mi identidad digital que he realizado para el curso de PLE que estamos realizando; está realizada con GIMP. Y voy a aprovechar para comentar un aspecto algo sensible que no sé si la gente lo tiene claro.

He visto que mucha gente ha utilizado Prezi para realizar lo mismo. Prezi Es una herramienta muy interesante, que sirve para mejorar la calidad de las presentaciones y transmitir mejor las ideas, cuando me hablaron de ella me encantó y la bicheé un poco, pero tiene una serie de inconvenientes muy problemáticos para mi, como por ejemplo que no es software libre, esto puede parecer una tontería, pero teniendo en cuenta que estamos trabajando para un organismo público, desde mi punto de vista hay que intentar (siempre que la calidad ofrecida sea equivalente) utilizar software libre en lugar de propietario; esto se debe a que el dinero en los organismos públicos es de todos, y desde mi punto de vista, todo lo que NO sea utilizar este dinero de la manera más eficaz posible debería considerarse fraudulento (o como mínimo inapropiado).

La excusa típica que escucharé ahora será que de Prezi se puede utilizar la versión educativa (que es gratis :-) jajaja esto ya me lo han dicho antes, y tampoco estoy de acuerdo, el motivo es que hay que entender que las empresas están para ganar dinero, NO para ofrecer servicios de forma altruista, si Prezi ofrece sus servicios gratuitos es por una única razón, que es la expectativa de engancharte a su formato (por eso el formato que utilizan es cerrado, es decir que sólo funciona con SU programa), de manera que cuando ya tengas muchas presentaciones o necesites hacer alguna con finalidad comercial, te sea más rápido y práctico pagar que pasarte a otras opciones del mercado (libres o no). Esto es una técnica de negocio muchísimo más antigua que la informática, pero que en esta rama ha visto una gran aceptación por parte de la gente, sin que nadie se cuestione nada. Básicamente esto es lo que lleva haciendo Mocosoft toda su vida, y muchísimos otros ejemplos, como pueden ser Oracle, Adobe, ....¿necesito seguir?

Pero una cuestión que es más alarmante y por la que yo considero que es deber de todos intentar proteger a la administración pública, es que además estas empresas "hacen trampas", desde mi punto de vista, porque cobran DOS veces (si has leído bien x2), a ver me explico: Estas grandes multinacionales hacen contratos multimillonarios con los dirigentes y políticos (a saber con que "argumentos" los convencen porque la calidad no suele ser su mejor baza, como ejemplo el Windows de Mocosoft ;-) ) y se esmeran mucho en conseguir convencer a los dirigentes porque si la administración utiliza un formato de archivo propietario (por ejemplo el Word), luego los usuarios de a pie, para poder entregarle documentos a la administración también tendrán que tener el "Word" y por lo tanto pagar sus licencias. Es decir Mocosoft NOS ha cobrado dos veces, una a la administración (que somos todos, es decir lo hemos pagado nosotros) y otra vez nos cobra a nosotros para poder enviarle documentos a nuestra administración. En resumidas cuentas, que como usuarios pagamos dos veces por el mismo producto. Y OJO! No me mal interpretes, que todo esto que estoy comentando sólo se aplica cuando existen alternativas de software libre de igual calidad, si no las hay, habrá que utilizar lo que haya (aunque sea propietario).

Por este motivo, cuando todos esos políticos firman contratos multimillonarios con las empresas de software, sin tener ni idea de las soluciones libres (o bien por desconocimiento, o bien porque les han convencido "bajo cuerda") desde mi punto de vista se está cometiendo DELITO DE FRAUDE. ¿Quieres un ejemplo? Ahí va, la Junta de Andalucía tras invertir dinero y esfuerzo en el software libre (y con éxito), debido a un cambio político (¿quién habrá salido ganando?) pasa a malgastar 12 Millones de € en licencias Mocosoft. Cuando resulta que incluso la propia Mocosoft prefiere usar software libre ¡sopresa! ¿no lo sabias?.

Logo de JessyInk

Logo de JessyInk

Una vez expresada mi opinión al respecto, ¿que opción libre tenemos como alternativa a Prezi? Pues tenemos "JessyInk" que es un complemento para Inkscape, que es un programa de dibujo vectorial. Puedes encontrar mucha información sobre JessyInk en la red, pero yo dejo un par de enlaces que son los que me han parecido los más interesantes:

En breve subiré mi PLE realizado en JessyInk, por el momento dejo esta realizada en GIMP Como lo prometido es deuda, a continuación dejo ambos PLE, el primero realizado en GIMP y el segundo en JessyInk:

Mi infografía de PLE

Mi infografía de PLE

Mi PLE realizado en JessyInk

No me queda más que animar a todos a utilizar esta herramienta, probarla y difundirla.