¿Cómo veis lo del código fuente de Windows 2000 y NT? Hoy, según salía de una mesa redonda en la Semana Internacional de la Moda de Madrid sobre el efecto de la tecnología en ese sector, me encontré con llamadas tanto de Expansión como de Cinco Días para hablar del tema, y, francamente, me parece extraño. A ver… existe una prueba viva de que revelar el código fuente de un sistema operativo no provoca vulnerabilidades en el mismo. La prueba viva se llama Linux. Pero claro, Linux ha sido producido mediante una metodología de trabajo concurrente y revisión constante por parte de la comunidad (peer-reviewing system, que le decimos en el mundo académico) que asegura que los errores, caso de existir, son lo suficientemente complejos como para habérsele escapado a un montón de gente experta, mientras que, en cambio, Microsoft es conocida por gastarse más en solucionar las llamadas de usuarios con problemas que en el desarrollo de sus programas. Pero, y aquí viene mi mosqueo… ¿No resulta extraño que los sistemas operativos objeto de la fuga hayan sido, precisamente, Windows NT y Windows 2000? Dos sistemas operativos que llevan tiempo en el mercado, que han sido objeto de una interminable serie de parches, service packs y actualizaciones críticas? Cualquier error o vulnerabilidad que se descubriese por el hecho de haberse revelado el código tendría que haber pasado desapercibida a los ingenieros desarrollo y de control de calidad de Microsoft (lo cual no sería extraño), pero, posteriormente, a los García Cuartango y demás especialistas en seguridad repartidos por el mundo entero… En realidad, Microsoft ha conseguido casi replicar el proceso de peer reviewing de Linux, sólo que de manera menos eficiente y posterior al lanzamiento de un producto originalmente lleno de agujeros. Ahora pueden hacer cosas muy interesantes, como echarle la culpa de la fuga a otro (uno de los gobiernos o universidades que lo tenían), o esperar un tiempo corto y anunciar como, a pesar de la fuga, sus sistemas operativos «siguen» siendo seguros. Interesante movimiento. En fin, que los dos artículos salen mañana, veremos…
Dependerá todo de si los controles de calidad presuponían que el código no sería nunca visible. Si a Windows le encuentran vulnerabilidades sin poder ver el código, no quiero ni pensar en lo que sería capaz de hacer cierta gente «exaltada» con el código delante.
Yo no creo que se pueda establecer un paralelismo entre el código fuente de Windows y el de GNU/Linux. Como bien apuntas, el proceso de desarrollo de los dos productos es radicalmente distinto. GNU/Linux es un producto que ha crecido organicamente de una manera natural: las distinas versiones se van liberando cuando están listas, y este momento de liberación no lo dicta un plan de marketing, sino el hecho de que el producto sea consistente.
Probablemente el número de fallos de Windows sea similar al de GNU/Linux: pero en Windows se van solucionando una vez que el producto ha salido… mientras que en GNU/linux esa cantidad de fallos se han visto por esos cientos de atentos ojos mucho antes.
Quien se ponga a examinar el código de Windows detenidamente no va a ser el autor de los virus masivos de turno – virus que está demostrado son realizados por poco más que gamberros con pocos conocimientos – por lo que no creo que vaya a tener muchas repercusiones prácticas.
Yo a todo esto lo llamo «la trampa». Por que realmente es una trampara para todos los que no son Microsoft. Me quedo con la contestación de Microsoft: es algo que afecta principalmente a la propiedad, no a la seguridad.