Steve Bellovin pide leyes que castiguen a los fabricantes de programas defectuosos

Steven Bellovin lleva 20 años trabajando en los laboratorios de AT&T. Es un activo miembro de la Internet Engineering Task Force y cofundador del sistema de noticias Usenet en sus años de estudiante. Bellovin es también asesor del Gobierno de Estados Unidos.

Bellovin no usa Windows ni Linux, sino NetBSD, y dice: "Uno de los principales problemas es que prácticamente todo el mundo está utilizando el mismo software. Si Microsoft comete un error, todos lo sufren. Necesitamos biodiversidad en los ordenadores. Además, Microsoft no hace las cosas tan bien como podría, lo que llega a afectar a los que no utilizamos sus productos, como cuando un gusano colapsa la Red".

El gurú no cree que la culpa sea del consumidor: "Se publican constantemente actualizaciones y parches, hasta el punto de que mucha gente no puede seguir el ritmo. Además, los ordenadores son cada vez más complicados, es preciso instalar cosas continuamente y usamos software que no controlamos. Una lección que aprendí hace 35 años es no instalar nunca la versión .0 de cualquier producto. Es preciso esperar un tiempo, que se descubran los problemas que a buen seguro tiene".

"Hay constantemente actualizaciones y parches, hasta el punto de que mucha gente no puede seguir el ritmo. Además, los ordenadores son cada vez más complicados"

Bellovin aboga por "una legislación que fije la responsabilidad de los fabricantes". Lo argumenta así: "Si hago coches y la gente sufre accidentes por un error mío, las leyes dicen que soy responsable. En la industria del software, si los clientes de un banco pierden sus ahorros por culpa de un producto informático, el fabricante no tiene responsabilidad. Las empresas dicen que hacer más seguros sus programas no es rentable. Esta percepción cambiaría si tuvieran responsabilidad sobre las incidencias".

El experto sonríe cuando se le pregunta por el Tratado Internacional de Cibercrimen, que entra en vigor en julio: "Es bueno que haya estipulaciones generales, pero la existencia de demasiadas regulaciones y la posibilidad de vigilar indiscriminadamente la actividad de la gente entran en conflicto directo con nuestros derechos. Es una legislación mejorable, da demasiado poder a las fuerzas del orden y es un error que prohíba la posesión de herramientas de hacking. El profesional de la seguridad necesita conocer qué se está ejecutando en su Red, y no tiene otro método que estas herramientas".

Bellovin tampoco espera milagros de las leyes para el correo basura o de las voces que proponen autentificar los mensajes para evitar los no solicitados: "Es totalmente falso que esto solucione el problema. Tanto tú como un spammer podéis enviarme un mensaje firmado digitalmente. Si nunca nos hemos comunicado antes, ¿como sé que tu correo es legítimo? También dicen que podríamos permitir sólo el correo procedente de los principales proveedores, pero ¿quién decide que éste es un proveedor y éste no? Por otra parte, algunos permiten a los spammers utilizar sus servicios, ya que son clientes que pagan".

Según el experto, un alto porcentaje de correo basura viene de ordenadores personales atacados: "Los spammers y los hackers han formado una alianza; los hackers reciben una compensación económica por introducirse en las máquinas y convertirlas en sistemas de envío de spam. Si, como proponen, el proveedor cobra al usuario doméstico por enviar correo y le han hackeado el ordenador, acabará pagando él. Los virus son el mismo problema: la principal razón de los gusanos que abren puertas secretas es enviar spam o instalar programas espía. Esto sí necesita legislación".

En cuanto al aumento de hackers mercenarios, Bellovin afirma: "La mayoría del hacking actual tiene objetivos criminales. Actualmente, tenemos un escándalo en Estados Unidos porque miembros de un partido político han atacado los sistemas de otro para espiarlo. Hace un año, una de las principales universidades espiaba las peticiones de candidatos a otra universidad. Las empresas y la policía no quieren comentar estos problemas. Es más, sólo el 3% de las intrusiones son detectadas".