Esta es una traducción de la página original en inglés.

Inseguridad en el software privativo


El software que no es libre (privativo) a menudo es malware (diseñado para maltratar a los usuarios). El software que no es libre está controlado por quienes lo han desarrollado, lo que los coloca en una posición de poder sobre los usuarios; esa es la injusticia básica. A menudo los desarrolladores y fabricantes ejercen ese poder en perjuicio de los usuarios a cuyo servicio deberían estar.

Habitualmente, esto suele realizarse mediante funcionalidades maliciosas.


Esta página ofrece una lista de casos comprobados de inseguridad en el software privativo con graves consecuencias o dignos de mención. Aun cuando la mayor parte de estos fallos de seguridad no son intencionados, de modo que en sentido estricto no son funcionalidades maliciosas, los mencionamos aquí para mostrar que el software privativo no es tan seguro como a menudo dicen los medios.

Esto no significa que el software libre sea inmune a fallos y a defectos de seguridad. La diferencia a este respecto entre el software libre y el software privativo es la forma de manejar los fallos: los usuarios de software libre pueden estudiar el programa y/o arreglar los fallos (a menudo colectivamente, ya que pueden compartir el programa), mientras que los usuarios de programas privativos se ven obligados a confiar en que el desarrollador del programa los solucione.

Si el desarrollador no se ocupa de arreglar el fallo (lo que sucede a menudo con el software embebido y las versiones antiguas), los usuarios están perdidos. Pero si el desarrollador envía una versión corregida, además del arreglo de los fallos esta puede contener nuevas funcionalidades maliciosas.

Si conoce algún otro ejemplo que debería mencionarse en esta página, escríbanos por favor a <webmasters@gnu.org>. Incluya la URL de una o más referencias confiables que justifiquen su inclusión.

Vulnerabilidad inducida por la UEFI

La UEFI hace que los ordenadores sean vulnerables a amenazas sofisticadas persistentes que es casi imposible detectar una vez instaladas. Véanse los detalles técnicos.

Kaspersky descubrió este ejemplo por casualidad, y no dispone de un método general para comprobar si ese tipo de rootkits están presentes en un ordenador.

El software que no es libre no hace que nuestros ordenadores sean seguros, sino todo lo contrario: nos impide tratar de hacerlos seguros. La UEFI es un programa privativo necesario para que el ordenador arranque e imposible de sustituir; es de hecho un rootkit de bajo nivel. Todo lo que Intel ha hecho para asegurar su poder sobre los usuarios protege igualmente los rootkits que infectan la UEFI.

En lugar de permitir a Intel, AMD, Apple y quizás ARM imponer la seguridad mediante la tiranía, debemos legislar para obligarles a que permitan a los usuarios instalar el software de arranque de su elección, y a que hagan pública la información necesaria para desarrollarlo. Es el derecho a reparar aplicado a la fase de inicialización.