Hardware cerrado, infraestructura crítica y seguridad nacional
Esta mañana compartía en Twitter un enlace de la BBC que se hace eco de un tema que me suele escamar, el del peligro potencial del hardware cerrado para las infraestructuras críticas de un país. En este caso se trata de una comisión del congreso de Estados Unidos que alertaba que utilizar equipamiento de telecomunicaciones de las chinas ZTE y Huawei supone una amenaza a la seguridad del país puesto que no han sabido demostrar su inocencia ante la denuncia de colaboración con el gobierno chino.
No ha sido la única noticia relacionada. Hoy también se ha sabido que Cisco ha roto relaciones con ZTE por la relación comercial que ha mantenido la empresa china con Irán (Reuters), que incluye la venta de equipamientos Cisco a pesar del embargo comercial que practica Estados Unidos sobre Irán. Como toda convergencia entre política, tecnología y miedo siempre he guardo una distancia prudente respecto a posiciones maximalistas: es muy fácil para cualquiera de los actores agitar la bandera del FUD, incluso para defender proyectos libres.
El primer tema ha provocado un debate con Carlos Fenollosa sobre la dependencia respecto a fabricantes y proveedores de hardware cerrado que tienen las naciones. Los países al final despliegan infraestructura crítica sobre equipamientos desarrollados por corporaciones sin tener capacidad para conocer y analizar el comportamiento de todos los elementos y a expensas de dejar abiertas puertas traseras o brechas de seguridad y privacidad.
El problema es que no es realista una conversión y empezar a exigir hardware libre de la noche a la mañana, es una categoría en la que las soluciones que proveen del acceso a las especificaciones distan de ser tan competitivas como tantos proyectos de software libre. También me preocupa, como indico arriba, el mensaje alarmista de que "nos espían los chinos" toda vez que el caso sobre la mesa apunta a no está demostrado el espionaje sino se ha dejado la carga de la prueba en los fabricantes acusados y hay estándares y procesos de prueba para verificar que un dispositivo hardware hace lo que dice y no otras cosas.
En todo caso, este tema debería estar en la agenda política ¿cómo se protegen las infraestructuras críticas y la privacidad de las comunicaciones, qué se debe exigir a fabricantes y proveedores de soluciones? Por más vueltas que le doy, el sumar que la solución sea cada vez más libre y abierta parece el único camino para ganar esa seguridad.