Un nuevo incidente acecha a la comunidad del software libre y el malware, una relación que viene siendo cada vez más intensa en los últimos años. Y esta vez no ha sido menos, ya que viene de la mano de una polémica: ¿qué ha ocurrido?
Una sospecha que ha sido mencionada varias veces sobre el software propietario es la posibilidad de que, al no verse el código, existan funcionalidades de backdoor (también conocidas en español como puertas traseras, la posibilidad de que un tercero pueda ingresar al equipo para espiar su funcionamiento o realizar acciones) que perjudiquen al usuario. Sin embargo, parece que el software libre también se suma a la polémica, y con acusaciones reales puestas sobre la mesa.
Resulta que un ex agente del FBI, luego de que finalizara su contrato de confidencialidad, publicó que la agencia de seguridad habría implementado backdoords en el código de redes VPN en OpenBSD. El anuncio fue realizado a través del envío de una carta a Theo de Raadt, líder del proyecto OpenBSD, que incluye las siguientes declaraciones:
[...] Mi contrato de confidencialidad con el FBI ha expirado recientemente, y quisiera hacerte saber el hecho de que el FBI implementó un número de backdoors [...] con el propósito de espiar redes cifradas VPN entre sistemas.
Este también es el motivo por el cual muchos integrantes de la agencia han alentado el uso de OpenBSD para la implementación de VPN y firewalls.
Por su parte, Theo de Raadt brindó también una respuesta pública al respecto:
He recibido un mail relacionado a un ataque en el desarrollo de IPSEC sobre OpenBSD. Se acusa a ex-desarrolladores de haber recibido dinero del gobierno para colocar backdoords en el código, alrededor del año 2000 y 2001.
[...] Esta acusación proviene de una persona con la cual no he hablado por casi 10 años. Me rehúso a formar parte de esta conspiración, y no estaré hablando con Perry sobre esto. Sin embargo, pongo al público en conocimiento de:
(a) aquellos que usen el código pueden auditarlo,
(b) aquellos que estén enojados con la historia pueden hacer las acciones que deseen,
(c) si esta no es cierta, los acusados podrán defenderse por sí mismos.
Vale destacar que las declaraciones no han tenido al momento respuesta oficial y, más importante aún, desde los desarrolladores de OpenBSD no se han manifestado respecto a si existió una auditoria de código que valide o rechace la teoría. En este momento, que exista un backdoor y no haya sido reparado es tan probable como que la acusación no sea cierta.
Lo que queda en claro es que la filosofía de desarrollo no garantiza ninguna inmunidad ante este tipo de incidentes, más allá de que uno u otro modelo de desarrollo pueda ser considerado más o menos seguro por cada uno de nosotros. Asimismo, la confianza hacia una plataforma debe estar dada por varios factores, y no sólo la posibilidad de poder observar el código (ilegible para la mayoría de los mortales) o de poder compartir la aplicación.
Sebastián Bortnik
Coordinador de Awareness & Research
