Esta mañana compartÃa en Twitter un enlace de la BBC que se hace eco de un tema que me suele escamar, el del peligro potencial del hardware cerrado para las infraestructuras crÃticas de un paÃs. En este caso se trata de una comisión del congreso de Estados Unidos que alertaba que utilizar equipamiento de telecomunicaciones de las chinas ZTE y Huawei supone una amenaza a la seguridad del paÃs puesto que no han sabido demostrar su inocencia ante la denuncia de colaboración con el gobierno chino.
No ha sido la única noticia relacionada. Hoy también se ha sabido que Cisco ha roto relaciones con ZTE por la relación comercial que ha mantenido la empresa china con Irán (Reuters), que incluye la venta de equipamientos Cisco a pesar del embargo comercial que practica Estados Unidos sobre Irán. Como toda convergencia entre polÃtica, tecnologÃa y miedo siempre he guardo una distancia prudente respecto a posiciones maximalistas: es muy fácil para cualquiera de los actores agitar la bandera del FUD, incluso para defender proyectos libres.
El primer tema ha provocado un debate con Carlos Fenollosa sobre la dependencia respecto a fabricantes y proveedores de hardware cerrado que tienen las naciones. Los paÃses al final despliegan infraestructura crÃtica sobre equipamientos desarrollados por corporaciones sin tener capacidad para conocer y analizar el comportamiento de todos los elementos y a expensas de dejar abiertas puertas traseras o brechas de seguridad y privacidad.
El problema es que no es realista una conversión y empezar a exigir hardware libre de la noche a la mañana, es una categorÃa en la que las soluciones que proveen del acceso a las especificaciones distan de ser tan competitivas como tantos proyectos de software libre. También me preocupa, como indico arriba, el mensaje alarmista de que “nos espÃan los chinos” toda vez que el caso sobre la mesa apunta a no está demostrado el espionaje sino se ha dejado la carga de la prueba en los fabricantes acusados y hay estándares y procesos de prueba para verificar que un dispositivo hardware hace lo que dice y no otras cosas.
En todo caso, este tema deberÃa estar en la agenda polÃtica ¿cómo se protegen las infraestructuras crÃticas y la privacidad de las comunicaciones, qué se debe exigir a fabricantes y proveedores de soluciones? Por más vueltas que le doy, el sumar que la solución sea cada vez más libre y abierta parece el único camino para ganar esa seguridad.
Bueno, lo primero, gracias por la mención. Ya sabes que te tengo en mucho aprecio y admiro la capacidad de análisis que tienes en este blog.
A mà me parece un tema urgentÃsimo de seguridad nacional. Los entusiastas del software libre llevamos años pronosticando los peligros de utilizar hardware+software propietario en la Administración, con los peligros que ello conlleva.
Primero, no sabemos si los datos se están enviando a la empresa.
Segundo, no sabemos si existe algún backdoor que permita a la empresa desactivar los dispositivos a voluntad.
Tercero, no sabemos si existe otro backdoor que, aún peor, a instancias de un juez del paÃs de origen de la empresa, permita robar información confidencial.
Cuarto, el Estado no puede auditar sus propias comunicaciones. Esto es demencial.
Me parece de una incultura y dejadez extrema no considerar estos conceptos a la hora de escoger, por ejemplo, que todos los diputados se regalen un iphone. Yo uso un iphone como consumidor, pero si un Estado no puede garantizar la seguridad de sus comunicaciones, ¡acabáramos!
Simplemente, no me entra en la cabeza. China y Rusia lo tienen claro, usan distribuciones de Linux en sus ordenadores. ¿Para ahorrar? Seguramente no, porque hay que gastar en formación. Pero lo que tienen garantizado es que sus datos de Hacienda no se envÃan remotamente a Apple, Microsoft, Google o Lotus.
Sé que he mezclado hardware con software con servicios, pero el peligro es el mismo.
Si pudiera cambiar una cosa de este paÃs, obviando lógicamente la crisis y problemas polÃticos de envergadura, serÃa esto. Alguien necesita dar la alarma.
Carlos