LA SEGURIDAD DE TODO INTERNET ESTÁ EN MANOS DE ESTAS PERSONAS QUE TRABAJAN GRATIS
La experiencia reciente de Heartbleed (agujero de seguridad de software en la biblioteca de código abierto OpenSSL) ha sido un golpe de realidad del que aún nos estamos recuperando todos, empresas y usuarios. Porque una cosa es que tu ordenador personal se pueda infectar mientras miras pornografía o te bajas discos gratis y otra muy distinta es saber que los servidores de algunas de las principales compañías tecnológicas del mundo han quedado expuestos durante meses.
¿La culpa? Un agujero de seguridad que podría haber dejado contraseñas, datos financieros y comunicaciones privadas de millones de personas al alcance de la mano de los peores transeúntes de la red.
La paradoja expuesta con el caso Heartbleed es que, mientras muchas de las organizaciones que se benefician de la gratuidad de OpenSSL cuentan con plantillas de cientos y miles de trabajadores y presupuestos multimillonarios; el mantenimiento y desarrollo del software libre del que depende la seguridad de buena parte de Internet está en manos de un puñado escaso de voluntarios mal remunerados. O no remunerados en absoluto.
Así lo afirmaba en un reciente artículo Chris Stokel-Walker, en el que Steve Marquess y Stephen Henson, los principales pilares del Proyecto OpenSSL y la OpenSSL Software Foundation (OSF), hablan de las condiciones en las que vienen desarrollando su labor. Henson es un matemático británico de 46 años especializado en criptografía; Marquess un físico norteamericano de 59. Ambos trabajan a miles de kilómetros de distancia y nunca han llegado a conocerse en persona a pesar de llevar colaborando más de un lustro. Toda la seguridad de Internet está ahora mismo en sus manos.
Un fallo de seguridad marcado por la precariedad
El proyecto OpenSSL arrastra toda una serie de dificultades que lastra el trabajo de Marquess y Henson. Básicamente, sus problemas consisten en una falta de financiación, falta de recursos humanos dedicados de forma exclusiva a OpenSSL, exceso de trabajo para los pocos realmente comprometidos con el proyecto, y falta de coordinación. Ese es el escenario ideal para que un error trivial pueda convertirse en un gran problema de dimensión global.
En la actualidad, el buen funcionamiento de una parte importante de las operaciones encriptadas que se realizan a lo largo y ancho de internet depende de unas pocas personas al límite de sus posibilidades o que trabajan de forma voluntaria y gratuita. Si su trabajo falla, el mundo moderno podría dejar de funcionar de una manera correcta.
La cuestión es: ¿de quién sería la culpa entonces? ¿De los desarrolladores movidos por la convicción, o de todo un sistema que se beneficia de su trabajo sin aportar casi nada a cambio?
“No puedes esperar que la gente que se dedica a programar OpenSSL se muera de hambre. Pero eso es lo que ha tendido a pasar y eso es lo que pasaba con Steve Henson cuando lo conocí”, comenta Marquess en el artículo. Henson tiene que cargar en solitario con más del 60% del trabajo de programación relacionado con OpenSSL. Él es el único desarrollador dedicado a tiempo completo al proyecto. La mayor parte del código añadido en los últimos años ha salido de su teclado, y lo que no ha sido fruto directo de su trabajo, ha tenido que ser sometido a su revisión.Todos los analistas coinciden en señalar que OpenSSL no cuenta con suficientes recursos humanos y dinero.
Lejos de las cifras astronómicas que se manejan en Silicon Valley y de la burbuja de las startups, la OpenSSL Sofware Foundation nunca ha logrado más de 700.000 euros de ingresos al año. Ésta sobrevive gracias a los contratos privados que firma con grandes compañías y a las donaciones de simpatizantes y benefactores. Y aunque la cantidad pueda parecer suficiente, tratándose de un equipo reducido de personas, lo cierto es que descontados los costes de la fundación, es poco lo que queda en caja. Eso hace que el resto de programadores comprometidos con OpenSSL tengan que condicionar su aportación al tiempo libre que les dejan sus otros trabajos a jornada completa.
¿No hay mal que por bien no venga?
Marquess reconoce que la amenaza de Heartbleed ha servido como toque de atención. OpenSSL es hoy una parte crítica de la infraestructura de internet, y como tal precisa de una atención real y de una fuente segura y constante de financiación. Evidentemente, para mantener la seguridad del producto necesitarían contar con un equipo de programadores dedicados a tiempo completo a la causa, y parece que pronto se darán las condiciones para que puedan empezar a contratar refuerzos.
El pasado jueves, la Linux Foundation anunció la creación de la llamada Core Infrastructure Initiative, un proyecto que cuenta con el respaldo económico de compañías como Google, Facebook, Microsoft o IBM, y cuyo objeto será “financiar proyectos de código abierto que son críticos para las funciones de computación básicas”. La iniciativa pretende invertir cerca de tres millones de euros en los próximos tres años, y según aseguran sus promotores, el primero en la lista de beneficiarios es OpenSSL.
La cantidad resulta ridícula al lado de los ingresos anuales de estas compañías, pero es un comienzo. La OpenSSL Foundation podrá al menos incorporar a un segundo programador a tiempo completo. Sin embargo, hay razones para sospechar. El propio Marquess estima que depender enteramente de una fuente de financiación procedente de un interés específico sería una influencia inapropiada. Al fin y al cabo, detrás de todo esto hay una cuestión de principios, una creencia firme en el valor del software libre, el código abierto y el procomún: “Los proyectos de código abierto son un fenómeno fascinante, y OpenSSL es un ejemplo casi estereotípico de esto. Un puñado de personas que se juntan, y dan respuesta a su inquietud. Escriben código porque les apetece. Porque es código abierto y la gente lo encuentra útil”.