![\"El](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1363462781-300x157.jpg\" "\\"Imagen")
<\/p>\n<\/p>\n
El software libre desempe\u00f1a ahora un papel fundamental en todo el mundo inform\u00e1tico... y, por tanto, en todo el mundo en general. La cuesti\u00f3n de c\u00f3mo se mantiene ese software se ha ido convirtiendo poco a poco en motivo de preocupaci\u00f3n, lo que ha llevado al Congreso de Estados Unidos a presentar un proyecto de ley en 2023: la \"Ley para proteger el software de c\u00f3digo abierto\". El viaje del c\u00f3digo abierto, de una impresora inform\u00e1tica al Congreso de EE.UU., pasando por el compromiso de la biblioteca XZ: nos adentramos en una historia fascinante.<\/strong><\/p>\n El tono de la \"Ley para proteger el software de c\u00f3digo abierto<\/em><\/a>\" se establece en sus primeras l\u00edneas: \"El software de c\u00f3digo abierto fomenta el desarrollo tecnol\u00f3gico y forma parte integral de la ciberseguridad general\"; \"un ecosistema de software de c\u00f3digo abierto seguro, sano, din\u00e1mico y resiliente es crucial para garantizar la seguridad nacional y la vitalidad econ\u00f3mica de Estados Unidos\"; \"el software de c\u00f3digo abierto forma parte de los cimientos de la infraestructura digital que promueve una Internet libre y abierta\". \"Sin ese software 'libre', Internet tal y como la conocemos hoy no existir\u00eda, y nunca habr\u00eda existido\",<\/em> afirma el responsable t\u00e9cnico de Stormshield, Yvan Vanhullebus<\/strong>. Pero la cuesti\u00f3n de la permutabilidad de los t\u00e9rminos \"software libre\" y \"software de c\u00f3digo abierto\" es siempre pol\u00e9mica.<\/p>\n Sin ese software 'libre', Internet tal y como la conocemos hoy no existir\u00eda, y nunca habr\u00eda existido<\/em><\/p>\n <\/p>\n El primer t\u00e9rmino que se adopt\u00f3 fue \"software libre\". Este concepto naci\u00f3 en Estados Unidos en los a\u00f1os 80, bajo el impulso de Richard Stallman. Impulsado en un principio por el simple deseo de poder imprimir un documento, este ferviente defensor de la cultura \"hacker<\/em>\" ha pasado a la historia como opositor a la privatizaci\u00f3n del software y a la aparici\u00f3n de una legislaci\u00f3n cada vez m\u00e1s restrictiva para los usuarios. Por ejemplo, en 1980 se aprob\u00f3 la \"Ley de derechos de autor de programas inform\u00e1ticos\".<\/p>\n Esto es lo que impuls\u00f3 a Richard Stallman a crear en 1985 la Free Software Foundation (Fundaci\u00f3n del software libre), una organizaci\u00f3n sin \u00e1nimo de lucro que establece los cuatro fundamentos del software libre: la libertad de ejecutar el programa como se desee, para cualquier prop\u00f3sito; la libertad de estudiar c\u00f3mo funciona el programa, y modificarlo para que haga los procesos de computaci\u00f3n como se desee; la libertad de redistribuir copias; y la libertad de distribuir copias de sus versiones modificadas a otros, dando a toda la comunidad la oportunidad de beneficiarse de sus cambios. Ante las posibles interpretaciones del t\u00e9rmino \"libre\", el mismo Richard Stallman respond\u00eda en su biograf\u00eda autorizada \"No pienses en 'libre' como en 'cerveza gratis'; piensa en 'libre' como en 'libertad de expresi\u00f3n'.<\/em> En otras palabras, hablamos de libertad, no de regalos gratuitos. Pero esta aproximaci\u00f3n \u00e9tica al concepto dista mucho de ser un\u00e1nimemente aceptada en la comunidad. Para acabar con esta ambig\u00fcedad ling\u00fc\u00edstica, la cient\u00edfica estadounidense Christine Peterson, entonces directora ejecutiva del Foresight Institute, invent\u00f3 el t\u00e9rmino \"c\u00f3digo abierto\" en 1998. Peterson cuenta la historia de este cambio l\u00e9xico de importancia cr\u00edtica en un relato largo y fascinante<\/a>. Junto a nombres como Eric Raymond y Bruce Perens, particip\u00f3 en la creaci\u00f3n de la Iniciativa de C\u00f3digo Abierto (OSI) ese mismo a\u00f1o. Esta abandon\u00f3 la terminolog\u00eda original de \"software libre\" en favor de \"software de c\u00f3digo abierto\".<\/p>\n No pienses en 'libre' como en 'cerveza gratis'; piensa en 'libre' como en 'libertad de expresi\u00f3n<\/em><\/p>\n \u00bfCu\u00e1les son las diferencias entre software \"libre\" y \"de c\u00f3digo abierto\"? En t\u00e9rminos de definiciones, el software \"libre\" se refiere a la posibilidad de utilizarlo, estudiarlo, modificarlo o duplicarlo, mientras que el t\u00e9rmino software de \"c\u00f3digo abierto\" se refiere a una filosof\u00eda de desarrollo seg\u00fan la cual se reutiliza todo o parte del c\u00f3digo fuente<\/strong>. Los proyectos de c\u00f3digo abierto suelen estar supervisados por uno o varios encargados de mantenerlo, pero fomentan las contribuciones externas, como la adici\u00f3n de nuevas funciones, los comentarios sobre errores (y su correcci\u00f3n) y las mejoras de seguridad. En otras palabras, el c\u00f3digo abierto es un movimiento colaborativo de desarrollo de software.<\/p>\n <\/p>\n Para garantizar que el software siga siendo abierto y libre, era necesario definir un marco jur\u00eddico. Esto llev\u00f3 a la creaci\u00f3n de varias licencias de usuario diferentes. La m\u00e1s conocida es la GNU GPL (General Public License), cuya primera versi\u00f3n se cre\u00f3 en 1989 bajo el impulso de las cuatro fundaciones creadas por Richard Stallman para especificar el marco legal de la distribuci\u00f3n de software libre para el proyecto GNU. Despu\u00e9s vendr\u00edan otras licencias, como Apache 2.0, MIT, BSD y Creative Commons, cada una de las cuales incorporaba sus propios niveles de permiso y reutilizaci\u00f3n del c\u00f3digo.<\/p>\n El desarrollo de estas licencias permitir\u00eda la aparici\u00f3n de numerosos proyectos, como el lanzamiento del n\u00facleo de Linux en 1991 o la licencia de c\u00f3digo abierto para Netscape Navigator en 1998 (que sirvi\u00f3 de base para crear la suite Mozilla). En 2001, Wikipedia se convirti\u00f3 en uno de los proyectos insignia del movimiento de c\u00f3digo abierto, con el objetivo de utilizar la inteligencia colectiva para crear la mayor fuente de conocimiento en Internet. El posterior lanzamiento de Android por Google en 2008, y la creaci\u00f3n de GitHub<\/a> ese mismo a\u00f1o, dan fe de la creciente integraci\u00f3n del c\u00f3digo abierto en las tecnolog\u00edas de consumo y en las infraestructuras de desarrollo de software<\/strong>. La culminaci\u00f3n de esta adopci\u00f3n, al menos superficial, llegar\u00eda en 2014 en un discurso de Satya Nadella, CEO de Microsoft, que inclu\u00eda la declaraci\u00f3n \"Microsoft ama Linux\". En la comunidad del c\u00f3digo abierto, sin embargo, muchos recuerdan las palabras de su predecesor Steve Ballmer<\/a> describiendo Linux como \"un c\u00e1ncer que se adhiere en un sentido de propiedad intelectual a todo lo que toca\".<\/p>\n Desde el punto de vista de negocio, el c\u00f3digo abierto encarna un modelo espec\u00edfico. Si un proyecto es de c\u00f3digo abierto, es posible crear variantes que existen fuera del control de la empresa; el modelo econ\u00f3mico gira principalmente en torno a los servicios o el mantenimiento (todo menos las licencias). Esto hace que a las empresas les merezca la pena econ\u00f3micamente adoptar \u201cBricks\u201d o aplicaciones de c\u00f3digo abierto, siempre que conozcan bien las limitaciones de cada licencia.<\/p>\n Como se\u00f1ala David Gueluy<\/strong>, director de I+D y asesor t\u00e9cnico de Stormshield: \"La licencia GPL es famosa por exigir la redistribuci\u00f3n de cualquier cambio realizado en el c\u00f3digo fuente. Esta obligaci\u00f3n ha creado situaciones legales complejas para algunos desarrolladores, ante la exigencia de que publiquen todo su c\u00f3digo fuente \u2013 incluso en casos en los que s\u00f3lo se ha integrado un fragmento muy peque\u00f1o de c\u00f3digo GPL en un programa muy grande\"<\/em>.<\/p>\n En cambio, licencias como BSD, MIT y Apache ofrecen m\u00e1s flexibilidad, pues permiten a las empresas modificar y utilizar el c\u00f3digo sin tener que compartir los cambios. Esto hace que resulte atractivo para las empresas utilizar y desarrollar proyectos de c\u00f3digo abierto, como confirman las estad\u00edsticas de Microsoft<\/a>, que revelan que el 60% de las im\u00e1genes alojadas en la nube Azure se basan en el n\u00facleo Linux o en software libre. \"Siempre sonr\u00edo cuando leo otro informe en el que se dice que el c\u00f3digo abierto se utiliza cada vez m\u00e1s o que est\u00e1 adquiriendo un papel destacado en tal o cual \u00e1mbito\"<\/em>, afirma Vanhullebus. \"\u00bfSe trata realmente de una tendencia actual, o es algo de lo que s\u00f3lo empezamos a darnos cuenta ahora?<\/em>\u201d. Al fin y al cabo, la adopci\u00f3n del c\u00f3digo abierto es un fen\u00f3meno que se est\u00e1 extendiendo en todos los sectores, incluido el dise\u00f1o y desarrollo de productos de ciberseguridad.<\/strong><\/p>\n Siempre sonr\u00edo cuando leo otro informe en el que se dice que el c\u00f3digo abierto se utiliza cada vez m\u00e1s o que est\u00e1 adquiriendo un papel destacado en tal o cual \u00e1mbito. \u00bfSe trata realmente de una tendencia actual, o es algo de lo que s\u00f3lo empezamos a darnos cuenta ahora?<\/em><\/p>\n <\/p>\n Como todo, el c\u00f3digo abierto tiene partidarios y detractores \u2013 y los detractores del c\u00f3digo abierto debaten sobre varios temas. El primer debate, que se remonta a hace unos treinta a\u00f1os, era si el propio enfoque del c\u00f3digo abierto pod\u00eda funcionar. \"Desde el principio, y en los primeros proyectos, pudimos responder a esa pregunta y zanjar el debate con bastante rapidez\"<\/em>, afirma Vanhullebus. Esto dio lugar al segundo debate sobre si el uso de herramientas de c\u00f3digo abierto deb\u00eda reservarse exclusivamente a los frikis de pelo largo con gafas\".<\/em> Este segundo debate a\u00fan persiste en determinados entornos y sectores, pero se ha calmado claramente con el acercamiento entre el c\u00f3digo abierto y la experiencia del usuario. Por \u00faltimo, el tercer debate est\u00e1 m\u00e1s espec\u00edficamente relacionado con el propio mundo ciber: \u00bfpuede ser fiable un producto de ciberseguridad que utilice componentes de c\u00f3digo abierto?<\/strong>\u00a0El temor es que un ciberdelincuente descubra un fallo y se lo quede con la intenci\u00f3n de explotarlo, como en el caso de vulnerabilidades como Heartbleed en el proyecto OpenSSL, descubierta en 2012, o Log4J, descubierta en 2021. Otro argumento esgrimido por los detractores del c\u00f3digo abierto se refiere a la posibilidad de que actores malintencionados contribuyan a un proyecto de c\u00f3digo abierto, introduciendo debilidades que podr\u00edan parecer simples errores... En un informe de 2020<\/a>, GitHub afirmaba que el 17% de los errores de software de la plataforma hab\u00edan sido colocados intencionadamente en el c\u00f3digo por actores maliciosos. El compromiso de la biblioteca XZ<\/a>, el bloque de construcci\u00f3n b\u00e1sico utilizado en el entorno Linux, se sum\u00f3 a estas estad\u00edsticas unos a\u00f1os m\u00e1s tarde. A finales de marzo de 2024, un empleado<\/a> de Microsoft emiti\u00f3 una alerta a la comunidad de c\u00f3digo abierto tras descubrir una anomal\u00eda en los paquetes XZ. Denominado desde entonces CVE-2024-3094<\/a>, este ataque por fases combina t\u00e9cnicas de ingenier\u00eda social y una preparaci\u00f3n a largo plazo (entre varios meses y varios a\u00f1os), para insertar gradual y discretamente una puerta trasera. Un posible ataque a gran escala a la cadena de suministro frustrado justo a tiempo...<\/p>\n Pero el c\u00f3digo abierto tambi\u00e9n cuenta con partidarios, en su inmensa mayor\u00eda. Explican que el c\u00f3digo abierto mejora la seguridad gracias a su transparencia y a la colaboraci\u00f3n de la comunidad<\/strong>. La raz\u00f3n es que el acceso al c\u00f3digo fuente facilita la detecci\u00f3n de vulnerabilidades y, por tanto, su correcci\u00f3n lo antes posible, en comparaci\u00f3n con un enfoque de \"caja negra\" en el que la visibilidad es limitada. Gueluy est\u00e1 de acuerdo: \"Lo notable del aspecto de seguridad de los proyectos de c\u00f3digo abierto es el concepto de que puedes ir y comprobar por ti mismo que no hay nada anormal en el c\u00f3digo... ninguna puerta trasera, o al menos, si encuentras algo, tienes la capacidad de corregirlo t\u00fa mismo\"<\/em>.<\/p>\n Lo notable del aspecto de seguridad de los proyectos de c\u00f3digo abierto es el concepto de que puedes ir y comprobar por ti mismo que no hay nada anormal en el c\u00f3digo... ninguna puerta trasera, o al menos, si encuentras algo, tienes la capacidad de corregirlo t\u00fa mismo.<\/em><\/p>\n Y as\u00ed ocurri\u00f3 con Heartbleed, Log4J y el compromiso XZ: la capacidad de reacci\u00f3n y la colaboraci\u00f3n de la comunidad del software libre fueron decisivas para resolverlos. Vale la pena se\u00f1alar que a pesar del ruido que rodea el compromiso XZ, es importante se\u00f1alar que esto no es ni un fen\u00f3meno nuevo, ni uno espec\u00edfico del mundo del c\u00f3digo abierto. A finales de 2020, el malware Sunburst se introdujo en la cadena de desarrollo de software Orion en SolarWinds. En total, m\u00e1s de 18.000 empresas e instituciones de todo el mundo se habr\u00edan visto afectadas por este ataque. Un episodio que ilustra claramente que incluso las soluciones que no son de c\u00f3digo abierto siguen siendo susceptibles a las vulnerabilidades.<\/b><\/p>\n Este enfoque tambi\u00e9n cuenta con el apoyo de entidades p\u00fablicas, como la ANSSI en Francia. La agencia francesa participa en numerosos proyectos de c\u00f3digo abierto, tanto a trav\u00e9s de las contribuciones de sus agentes como de la publicaci\u00f3n de varias herramientas. Esta inversi\u00f3n \"responde a una verdadera cuesti\u00f3n de seguridad y soberan\u00eda, la de proteger los bienes comunes e invertir en tecnolog\u00edas y soluciones de futuro\"<\/em><\/strong>. Y al hacerlo, contribuye activamente al desarrollo de software libre como Linux, la distribuci\u00f3n Debian y el motor Suricata. Al fin y al cabo, no faltan proyectos de ciberseguridad de c\u00f3digo abierto. Gueluy cita Vault, \"una soluci\u00f3n producida por HashiCorp, una empresa basada en los principios del c\u00f3digo abierto, que permite el almacenamiento seguro de secretos\"<\/em>, KeePass (gestor de contrase\u00f1as), TheHive (plataforma de respuesta frente a Incidentes), Metasploit Framework (una herramienta de test de penetraci\u00f3n) y MISP (una plataforma de intercambio de inteligencia sobre ciberamenazas), que muestran el impacto que ha tenido el c\u00f3digo abierto en el desarrollo de soluciones robustas de ciberseguridad<\/strong>. Por ejemplo, OpenSSL, clasificado entre los 10 primeros por el \u00edndice de seguridad de c\u00f3digo abierto<\/a>, es uno de los principales proyectos de seguridad de las comunicaciones, y se utiliza tanto en productos comerciales como en soluciones de c\u00f3digo abierto. \"Las empresas se sienten atra\u00eddas por la oferta de OpenSSL de acceder a una criptobiblioteca ya probada y ampliamente validada por la comunidad, por lo que no necesitan empezar de cero\",<\/em> explica Gueluy. Y aqu\u00ed llegamos al meollo del asunto: crear un nuevo producto (que no sea un producto de nicho) no basado en ninguna tecnolog\u00eda de c\u00f3digo abierto ser\u00eda totalmente inviable, ya que se necesitar\u00eda una inversi\u00f3n sustancial para (re)desarrollar los componentes existentes disponibles que han tardado a\u00f1os en construirse. Teniendo en cuenta este estado de cosas, es posible establecer un c\u00edrculo virtuoso auditando escrupulosamente las versiones de los componentes de c\u00f3digo abierto para descubrir posibles vulnerabilidades, publicando r\u00e1pidamente parches cuando se descubran estas posibles vulnerabilidades y contribuyendo a los proyectos (parches, funcionalidades, financiaci\u00f3n, etc.).<\/p>\n <\/p>\nYvan Vanhullebus<\/strong>, Technical Leader Stormshield<\/pre>\n<\/blockquote>\n
Los or\u00edgenes del c\u00f3digo abierto<\/h2>\n
Richard Stallman<\/strong>, programador y activista del software libre<\/pre>\n<\/blockquote>\n
C\u00f3digo abierto: un cambio hacia la colaboraci\u00f3n en comunidad<\/h2>\n
Yvan Vanhullebus<\/strong>, Technical Leader Stormshield<\/pre>\n<\/blockquote>\n
La importancia de abrir los ecosistemas de forma segura<\/h2>\n
David Gueluy<\/strong>, Director de I+D y asesor t\u00e9cnico Stormshield<\/pre>\n<\/blockquote>\n