Steve Bellovin pide leyes que castiguen a los fabricantes de programas defectuosos

Steven Bellovin lleva 20 a?os trabajando en los laboratorios de AT&T. Es un activo miembro de la Internet Engineering Task Force y cofundador del sistema de noticias Usenet en sus a?os de estudiante. Bellovin es tambi¨¦n asesor del Gobierno de Estados Unidos.

Bellovin no usa Windows ni Linux, sino NetBSD, y dice: "Uno de los principales problemas es que pr¨¢cticamente todo el mundo est¨¢ utilizando el mismo software. Si Microsoft comete un error, todos lo sufren. Necesitamos biodiversidad en los ordenadores. Adem¨¢s, Microsoft no hace las cosas tan bien como podr¨ªa, lo que llega a afectar a los que no utilizamos sus productos, como cuando un gusano colapsa la Red".

El gur¨² no cree que la culpa sea del consumidor: "Se publican constantemente actualizaciones y parches, hasta el punto de que mucha gente no puede seguir el ritmo. Adem¨¢s, los ordenadores son cada vez m¨¢s complicados, es preciso instalar cosas continuamente y usamos software que no controlamos. Una lecci¨®n que aprend¨ª hace 35 a?os es no instalar nunca la versi¨®n .0 de cualquier producto. Es preciso esperar un tiempo, que se descubran los problemas que a buen seguro tiene".

"Hay constantemente actualizaciones y parches, hasta el punto de que mucha gente no puede seguir el ritmo. Adem¨¢s, los ordenadores son cada vez m¨¢s complicados"

Bellovin aboga por "una legislaci¨®n que fije la responsabilidad de los fabricantes". Lo argumenta as¨ª: "Si hago coches y la gente sufre accidentes por un error m¨ªo, las leyes dicen que soy responsable. En la industria del software, si los clientes de un banco pierden sus ahorros por culpa de un producto inform¨¢tico, el fabricante no tiene responsabilidad. Las empresas dicen que hacer m¨¢s seguros sus programas no es rentable. Esta percepci¨®n cambiar¨ªa si tuvieran responsabilidad sobre las incidencias".

El experto sonr¨ªe cuando se le pregunta por el Tratado Internacional de Cibercrimen, que entra en vigor en julio: "Es bueno que haya estipulaciones generales, pero la existencia de demasiadas regulaciones y la posibilidad de vigilar indiscriminadamente la actividad de la gente entran en conflicto directo con nuestros derechos. Es una legislaci¨®n mejorable, da demasiado poder a las fuerzas del orden y es un error que proh¨ªba la posesi¨®n de herramientas de hacking. El profesional de la seguridad necesita conocer qu¨¦ se est¨¢ ejecutando en su Red, y no tiene otro m¨¦todo que estas herramientas".

Bellovin tampoco espera milagros de las leyes para el correo basura o de las voces que proponen autentificar los mensajes para evitar los no solicitados: "Es totalmente falso que esto solucione el problema. Tanto t¨² como un spammer pod¨¦is enviarme un mensaje firmado digitalmente. Si nunca nos hemos comunicado antes, ?como s¨¦ que tu correo es leg¨ªtimo? Tambi¨¦n dicen que podr¨ªamos permitir s¨®lo el correo procedente de los principales proveedores, pero ?qui¨¦n decide que ¨¦ste es un proveedor y ¨¦ste no? Por otra parte, algunos permiten a los spammers utilizar sus servicios, ya que son clientes que pagan".

Seg¨²n el experto, un alto porcentaje de correo basura viene de ordenadores personales atacados: "Los spammers y los hackers han formado una alianza; los hackers reciben una compensaci¨®n econ¨®mica por introducirse en las m¨¢quinas y convertirlas en sistemas de env¨ªo de spam. Si, como proponen, el proveedor cobra al usuario dom¨¦stico por enviar correo y le han hackeado el ordenador, acabar¨¢ pagando ¨¦l. Los virus son el mismo problema: la principal raz¨®n de los gusanos que abren puertas secretas es enviar spam o instalar programas esp¨ªa. Esto s¨ª necesita legislaci¨®n".

En cuanto al aumento de hackers mercenarios, Bellovin afirma: "La mayor¨ªa del hacking actual tiene objetivos criminales. Actualmente, tenemos un esc¨¢ndalo en Estados Unidos porque miembros de un partido pol¨ªtico han atacado los sistemas de otro para espiarlo. Hace un a?o, una de las principales universidades espiaba las peticiones de candidatos a otra universidad. Las empresas y la polic¨ªa no quieren comentar estos problemas. Es m¨¢s, s¨®lo el 3% de las intrusiones son detectadas".