¿Puede confiar en su ordenador?
por Richard Stallman¿De quién debería recibir órdenes su ordenador? La mayoría de la gente piensa que sus ordenadores deberían obedecerles a ellos, no a otros. Mediante un plan al que llaman «computación confiable» (trusted computing), grandes corporaciones mediáticas, incluidas las compañías cinematográficas y discográficas, junto con empresas del sector informático tales como Microsoft e Intel, se proponen hacer que su ordenador los obedezca a ellos en vez de a usted (la versión de Microsoft de este proyecto se llama Palladium). Los programas privativos ya han incluido características maliciosas en el pasado, pero este plan lo haría universal.
Software privativo significa, fundamentalmente, que usted no controla lo que hace el software; no puede estudiar ni modificar el código fuente. No sorprende que hábiles hombres de negocios encuentren formas de utilizar su control para poner al usuario en desventaja. Microsoft lo ha hecho varias veces: una versión de Windows estaba diseñada para informar a Microsoft de todo el software presente en su disco duro, una reciente actualización de «seguridad» en el Reproductor Multimedia de Windows exigía a los usuarios aceptar nuevas restricciones. Pero no es solo Microsoft, el software para intercambio de música KaZaa está diseñado de forma que socios empresariales de KaZaa puedan alquilar el uso de su computadora a sus clientes. Estas características maliciosas son a menudo secretas, pero incluso cuando se las conoce es difícil eliminarlas, dado que no se dispone del código fuente.
En el pasado se trató de incidentes aislados, la «computación confiable» los haría omnipresentes. «Computación traicionera» es un nombre más apropiado, pues el plan está diseñado para asegurarse de que su ordenador le desobedecerá sistemáticamente. De hecho, está diseñado para que deje de funcionar como un ordenador de propósito general. Cualquier operación puede requerir una autorización explícita.
La idea técnica en que se apoya la computación traicionera consiste en que el ordenador incluye un dispositivo de cifrado y firma digital, cuyas claves se ocultan al usuario. Los programas privativos utilizan este dispositivo para controlar qué otros programas puede ejecutar el usuario, a qué documentos o datos puede acceder y a qué programas los puede transferir. Esos programas descargarán continuamente a través de Internet nuevas reglas de autorización, e impondrán dichas reglas automáticamente a su trabajo. Si el usuario no permite que su ordenador obtenga periódicamente de Internet las nuevas reglas, algunos servicios dejarán de funcionar automáticamente.
Por supuesto, Hollywood y las compañías discográficas planean utilizar la computación traicionera para la «Gestión Digital de Restricciones» (DRM), de tal modo que los videos y la música descargados solo puedan reproducirse en un ordenador concreto. Compartir será completamente imposible, al menos utilizando los archivos autorizados que obtendría de dichas compañías. Usted, el público, debería tener la libertad y la posibilidad de compartir ese tipo de cosas. (Espero que alguien encuentre la forma de producir versiones que no estén cifradas, de subirlas y compartirlas, de manera que el DRM no tenga éxito del todo, pero esto no es disculpa para el sistema).
Imposibilitar el compartir ya es lo bastante malo, pero será aún peor. Existen planes para emplear el mismo mecanismo en el correo electrónico y en los documentos, lo que hará que los mensajes desaparezcan en dos semanas o los documentos solo puedan leerse en los ordenadores de una compañía.
Imagine que recibe un correo electrónico de su jefe diciéndole que haga algo que a usted le parece arriesgado. Un mes después, cuando la cosa sale mal, ya no puede utilizar el mensaje para mostrar que la decisión no fue suya. «Ponerlo por escrito» no le protege si la orden está escrita en tinta efímera.
Imagine que recibe un mensaje de correo electrónico de su jefe en el que establece una política que es ilegal o inmoral, tal como destruir los documentos de la auditoría de su compañía o permitir que una amenaza peligrosa para su país se mantenga fuera de control. En la actualidad usted podría enviar ese mensaje a un periodista y divulgar el asunto. Con la computación traicionera, el periodista no podrá leer el documento, su ordenador se negará a obedecerlo. La computación traicionera se convierte en un paraíso para la corrupción.
Procesadores de texto como Microsoft Word podrían usar la computación traicionera para asegurarse de que cuando se guarden los documentos, estos no puedan leerse en ningún procesador de la competencia. Ahora, para hacer que los procesadores libres puedan leer documentos de Word tenemos que descubrir los secretos de ese formato mediante arduos ensayos. Si Word, cuando guarda los documentos, los cifra utilizando la computación traicionera, la comunidad del software libre no tendrá la posibilidad de desarrollar software que pueda leerlos; y si pudiéramos, la Digital Millennium Copyright Act (Ley de Copyright del Milenio Digital) podría incluso prohibir tales programas.
Los programas que utilicen la computación traicionera descargarán continuamente de Internet nuevas reglas de autorización, imponiendo automáticamente dichas reglas a su trabajo. Si a Microsoft o al Gobierno de los EE. UU. no les gusta lo que usted dice en un documento escrito, podrían dictar nuevas instrucciones para que todos los ordenadores impidan que nadie lea ese documento. En cuanto cargaran las nuevas instrucciones, todos los ordenadores obedecerían. Su escrito sufriría un borrado retroactivo al más puro estilo de 1984. Hasta a usted mismo podría resultarle imposible leerlo.
Uno podría pensar que puede averiguar qué fechorías hace una aplicación de computación traicionera, estudiar cuán dañinas son, y decidir si aceptarla. Aceptar el acuerdo sería estúpido incluso si lo averiguara, pero ni siquiera puede esperar que el acuerdo se mantenga. Una vez que dependa del uso del programa estará atrapado, y ellos lo saben; entonces pueden cambiar el acuerdo. Algunas aplicaciones se bajarán automáticamente actualizaciones que harán algo diferente, y no le darán la posibilidad de elegir si desea la actualización o no.
En la actualidad se pueden evitar las restricciones del software privativo no utilizándolo. Si utiliza GNU/Linux u otro sistema operativo libre, y evita instalar en él aplicaciones privativas, entonces tiene el control sobre lo que hace que su ordenador. Si un programa libre tiene una característica maliciosa, otros programadores de la comunidad la quitarán y usted podrá usar la versión corregida. También puede ejecutar programas de aplicaciones y herramientas libres en sistemas operativos que no son libres; esto no llega a darle completa libertad, pero muchos usuarios lo hacen.
La computación traicionera pone en peligro la existencia de sistemas operativos y aplicaciones libres, porque podría impedírsele ejecutarlos. Algunas versiones de la computación traicionera exigirían que el sistema operativo esté específicamente autorizado por una compañía determinada. Los sistemas operativos libres no podrían instalarse. Algunas versiones de la computación traicionera exigirían que todo programa estuviera específicamente autorizado por el desarrollador del sistema operativo. En tal sistema no podría ejecutar aplicaciones libres. Y si usted averiguara cómo hacerlo y se lo contara a alguien, podría estar cometiendo un delito.
En los EE. UU. existen ya propuestas legislativas que exigirían que todos los ordenadores soportaran la computación traicionera, y que prohibirían a los ordenadores antiguos la conexión a Internet. La CBDTPA (a la que llamamos Consume But Don't Try Programming Act —Ley para que Consuma Pero No Trate de Programar—) es una de ellas. Pero incluso si no le obligan legalmente a migrar a la computación traicionera, la presión para aceptarla podría ser enorme. Hoy en día la gente utiliza a menudo el formato Word para comunicarse, pese a que esto causa problemas de diversos tipos (vea «Podemos acabar con los archivos adjuntos en Word»). Si únicamente una máquina de computación traicionera puede leer los últimos documentos de Word, mucha gente migrará a ella si considera que hacerlo no es más que una decisión individual (tómalo o déjalo). Para oponernos a la computación traicionera debemos unirnos y enfrentarnos a la situación mediante una decisión colectiva.
Para más información sobre computación traicionera, consulte “Trusted Computing” Frequently Asked Questions.
Impedir la computación traicionera exigirá que un gran número de ciudadanos se organicen. ¡Necesitamos su ayuda! Apoye Defective by Design (Defectuoso a propósito), la campaña de la FSF en contra de la Gestión Digital de Restricciones.
Posdatas
En el terreno de la seguridad informática se emplea el término «computación confiable» de forma diferente. Tenga cuidado en no confundir ambos significados.
El proyecto GNU distribuye el GNU Privacy Guard, un programa que implementa cifrado de clave pública y firmas digitales, y que puede utilizarse para enviar mensajes de correo electrónico seguros y privados. Es muy ilustrativo examinar la diferencia entre GPG y la computación traicionera, y ver así qué hace a uno tan útil y a la otra tan peligrosa.
Cuando alguien utiliza GPG para enviarle un documento cifrado y usted emplea GPG para descodificarlo, el resultado es un documento que no está cifrado y que usted puede leer, reenviar, copiar e incluso cifrar de nuevo para enviárselo de forma segura a una tercera persona. Una aplicación de computación traicionera le permitiría leer las palabras en la pantalla, pero no generar un documento sin cifrado que se pudiera reutilizar de otras maneras. GPG, un paquete de software libre, pone las funciones de seguridad a disposición de los usuarios: ellos lo utilizan. La computación traicionera está diseñada para imponer restricciones a los usuarios: ella los utiliza.
Los defensores de la computación traicionera focalizan su discurso en sus usos beneficiosos. Lo que dicen es a menudo correcto, pero no es lo importante.
Como la mayoría del hardware, el hardware con computación traicionera puede utilizarse para propósitos que no son dañinos. Pero estos usos pueden implementarse de otras maneras, sin hardware de computación traicionera. La principal diferencia de la computación traicionera para los usuarios es su vil consecuencia: manipula su ordenador para que trabaje contra usted.
Lo que ellos dicen es cierto y lo que yo digo también es cierto. Junte ambas cosas, ¿cuál es el resultado? La computación traicionera es un plan para arrebatarnos nuestra libertad, a la vez que nos ofrece beneficios menores para distraernos de lo que perderíamos.
Microsoft presenta Palladium como una medida de seguridad y sostiene que brindará protección contra virus, pero esta afirmación es evidentemente falsa. En una presentación de Microsoft Research, en octubre de 2002, se afirmó que una de las especificaciones de Palladium señala que los sistemas operativos y las aplicaciones existentes seguirán funcionando; por lo tanto, los virus seguirán pudiendo hacer todas las cosas que pueden hacer actualmente.
Cuando los empleados de Microsoft hablan de «seguridad» con relación a Palladium, no lo hacen con el significado que normalmente asociamos a esa palabra: proteger su computadora de cosas que usted no desea. Se refieren a proteger las copias de datos presentes en su ordenador para que usted no acceda a ellas de la manera en que otros no quieren. Una diapositiva de la presentación ofrecía una lista de varios tipos de secretos que Palladium podría servir para resguardar, la cual incluía «secretos de terceras partes» y «secretos del usuario»; pero «secretos del usuario» aparecía entre comillas, reconociendo de esa manera que esto es un absurdo en el contexto de Palladium.
En la presentación se utilizaron con frecuencia otros términos que solemos asociar al ámbito de la seguridad, tales como «ataque», «código malicioso», «engaño», «spoofing» (suplantación), así como «confiable». Ninguno de ellos tiene el significado habitual. Aquí «ataque» no significa que alguien trata de dañarlo a usted, sino que usted está tratando de copiar música. «Código malicioso» se refiere al código instalado por usted para hacer algo que otros no quieren que su ordenador haga. «Spoofing» no significa que alguien está engañándolo a usted, sino que usted está engañando a Palladium. Y así sucesivamente.
Una declaración anterior de los desarrolladores de Palladium sentaba el principio de que quien ha producido o recogido información debe tener un control total sobre cómo se utiliza esa información. Esto representaría un vuelco radical de las anteriores ideas en torno a la ética y el sistema legal, y crearía un sistema de control sin precedentes. Los problemas específicos de estos sistemas no son accidentales, son consecuencia de su objetivo fundamental. Es el objetivo lo que debemos rechazar.
En 2015 el principal medio utilizado para la distribución de todo tipo de copias es Internet, concretamente a través de la web. Hoy en día, las compañías que buscan imponer el DRM en todo el mundo quieren aplicarlo mediante programas que interactúan con los servidores web para obtener copias. Esto significa que se proponen controlar los navegadores y sistemas operativos de los usuarios. Para ello recurren a la «autentificación a distancia», un mecanismo que permite al ordenador «autenticar» ante el servidor el software específico que se está ejecutando en él, sin posibilidad de engaño por parte del usuario. El mecanismo autenticaría programas tales como el navegador (para demostrar que implementa el DRM y no permite extraer datos no cifrados), el kernel (para demostrar que no hay manera de parchear el navegador que se está ejecutando), el software de arranque (para demostrar que no se puede parchear el kernel al iniciarlo), así como cualquier otro software que sea pertinente para asegurar a las empresas del DRM su dominio sobre el usuario.
Bajo un régimen perverso, la única manera de reducir la efectividad de su poder sobre el usuario es disponer de una manera de ocultar o camuflar lo que se está haciendo. En otra palabras, se necesita una manera de engañar a la policía secreta del régimen. La «autentificación a distancia» es un plan para forzar a los ordenadores a que revelen la verdad a los servidores de una compañía cuando estos preguntan a un ordenador si el usuario lo ha liberado o no.
A partir de 2015, la computación traicionera se ha implementado en los ordenadores bajo la forma de «Módulo de Plataforma Confiable» (Trusted Platform Module, TPM). Sin embargo, por razones prácticas, el TPM ha resultado ser completamente ineficaz como plataforma para la autentificación a distancia a fin de verificar la Gestión Digital de Restricciones, por lo que las empresas utilizan otros métodos para implementar el DRM. Actualmente los TPM no se utilizan en absoluto para el DRM, y existen razones para pensar que no será posible hacerlo. Esto significa que en la actualidad, curiosamente, los únicos usos de los TPM son los secundarios e inocuos; por ejemplo, para verificar que nadie haya modificado subrepticiamente el sistema de un ordenador.
Por lo tanto, la conclusión es que los «Módulos de Plataforma Confiable» disponibles para ordenadores en 2015 no son peligrosos, y que no hay motivo inmediato para excluirlos de los ordenadores o para no admitirlos en el software del sistema.
Esto no significa que todo sea de color de rosa. Ya se utilizan otros sistemas de hardware que impiden al dueño de un ordenador modificar el software instalado; por ejemplo, en algunos ordenadores ARM, así como en procesadores de teléfonos móviles, automóviles, televisores y otros dispositivos, y esos sistemas son tan nocivos como cabía esperar.
Tampoco significa que la autentificación a distancia no represente una amenaza. Si se llega a implementar en algún dispositivo, será una grave amenaza a la libertad de los usuarios. El actual «Módulo de Plataforma Confiable» es inocuo solo debido a que fracasó en su tentativa de hacer posible la autentificación a distancia. No debemos dar por hecho que las futuras tentativas también fracasarán.
Desde 2022, el TPM2, un nuevo «Módulo de Plataforma Confiable», permite la autentificación a distancia y puede aplicar el DRM. La amenaza de la que advertí en 2002 se ha hecho terriblemente real.
La autentificación a distancia la utiliza en realidad «Google SafetyNet» (que ahora forma parte de la API «Play Integrity»), la cual verifica que el sistema operativo Android instalado en cada uno de sus teléfonos espía sea una versión oficial.
Esta funcionalidad maliciosa ya hace que resulte imposible utilizar aplicaciones bancarias en GraphenOS, una versión modificada de Android donde se ha eliminado parte, no todo, del software no libre que normalmente contiene Android.
Una versión libre de Android, como Replicant, seguramente tropezaría con el mismo obstáculo. Quienes valoran su libertad lo suficiente como para instalar Replicant probablemente tampoco tolerarán aplicaciones que no sean libre (bancarias o de otro tipo) en sus computadoras. Es de todos modos injusto que Google espíe a los usuarios para saber si han modificado el sistema operativo, y en base a ello dictaminar qué pueden hacer con él.
Este ensayo está publicado en el libro Software libre para una sociedad libre: Selección de ensayos de Richard M. Stallman.