Larga entrevista a William H. Gates III en Der Spiegel, disponible en inglés en la web de la revista, y traducida al español en Periodista Digital. La entrevista es larga, pausada y aparentemente meditada, hecha por un periodista bastante centrado, que no se limita a hacer de comparsa, y lleva las preguntas a momentos relativamente «pantanosos». Me gustaría extraer y comentar las siguientes citas textuales:
«Los usuarios de ordenadores personales deberán afrontar más a menudo cuestiones de carácter práctico. Por ejemplo: ¿necesito actualizar periódicamente mi software? Para nosotros, esta cuestión tiene repercusiones inmensas. Cuando ofrecemos una mejora de Windows a través de la Red, hay cientos de millones de personas que aprovechan nuestra oferta, pero otros cientos de millones no lo hacen.»
Es decir, releyendo lo citado: la culpa de la falta de seguridad es de esos usuarios que, de forma temeraria, escapan al control de la empresa rechazando las actualizaciones que se ponen a su disposición. Mi respuesta es la siguiente: yo no he instalado SP2, pero no porque sea un inconsciente o un dejado, sino porque me niego a que Windows me diga lo que puedo y no puedo instalar, y a que los programas que funcionaban bien dejen de hacerlo. Los primeros análisis de la SP2 enumeraban claramente una serie de problemas con otros programas, problemas que de haberme ocurrido, habrían comprometido claramente mi productividad. Además, los usuarios que instalaron SP2 siguen teniendo problemas de seguridad, porque el parche también estaba, en realidad, lleno de agujeros. ¿Que demuestra algo así? Que la responsabilidad, me temo, es de quien saca programas llenos de agujeros, no de los usuarios que los instalan.
La ya citada «obsesión por el control» puede observarse otra vez en un momento posterior de la entrevista, cuando Mr. Gates se refiere al spam
«… llegará un momento en que lograremos controlarlo, porque se pueden rastrear las fuentes. Todo el que hace publicidad para una empresa obtiene dinero de ella como pago por su trabajo. En ese sentido, llevamos ya mucho tiempo haciendo progresos enormes…»
Es obvio: para Mr. Gates, la manera de controlar spam, virus y demás problemas es haciendo que todo en Internet esté controlado, y además, preferentemente, bajo su control. A mí, francamente, se me ocurren mejores maneras de luchar contra los problemas que haciendo que todo en Internet esté controlado y bajo una especie de «estado policial», porque precisamente la falta de control es en gran medida lo que ha hecho que Internet adquiera la importancia que tiene hoy. También resulta llamativo lo que ocurre cuando el entrevistador le hace ver que Microsoft, en realidad, también forma parte del problema de la falta de seguridad. Es ese momento, cuando se trata de repartir las responsabilidades negativas, el que Mr. Gates escoge para recordar a los lectores que
«Existen un montón de sistemas operativos además de Windows, como el OS de Apple, Linux y Unix… «
Sistemas operativos que, además, son según Mr. Gates los verdaderos responsables de la falta de seguridad. La culpa, por supuesto, es de los «rebeldes» que se empeñan en no tener únicamente Microsoft en sus sistemas:
«Cuantos menos sistemas operativos haya dentro de una empresa, mejor funcionan las cosas en materia de seguridad»
Tal vez alguien debería regalarle a Mr. Gates un ejemplar de «El Origen de la Especies«, de Charles Darwin… una comunidad monoespecifica SIEMPRE resulta más vulnerable, porque precisamente su falta de diversidad se convierte en crítica a la hora de reaccionar ante un ataque. Pero por supuesto, Mr. Gates insiste en culpar de la falta de seguridad a los demás:
«… la velocidad con que la comunidad Linux reacciona ante cualquier problema que se presenta no es muy elevada que digamos, en buena medida porque ese sistema no tiene, como nosotros, miles de trabajadores listos para afrontar este tipo de situaciones. Un sistema operativo comercializado ofrece ventajas decisivas. Cuando se trata de un tema como éste, las generalizaciones no nos llevan muy lejos porque todos nosotros debemos tomarnos estos problemas muy en serio. Los desarrolladores de Linux son plenamente conscientes de que no hay ningún remedio milagroso en Linuxland.»
Aquí ya no sólamente yerra Mr. Gates: aquí directamente falta a la verdad. Puede leerse en infinidad de sitios, existen informes al respecto, y lo único que ha podido presentar hasta el momento Mr. Gates es un tendencioso informe de Forrester Research, uno de los peores analistas del mundo en lo referente al rigor de sus informes y de los más conocidos por su capacidad de vender sus conclusiones al mejor postor. Hasta el momento, la comunidad Linux ha reaccionado a los problemas de seguridad en plazos mucho menores que los que Microsoft ha sido capaz de lograr, hecho que resulta particular y llamativamente cierto cuando nos referimos a fallos de los considerados como críticos. Para entenderlo, Mr. Gates debería leer el conocidísimo «The Mythical Man Month«, de Frederick P. Brooks, en el que se demuestra claramente como añadir más personal en un departamento no es la respuesta para ser más eficiente en la producción de software.
Conviene leer la entrevista para poder hacerse ideas propias al respecto.
Parece la misma entrevista aparecida hoy domingo en El Pais.
Gracias por el comentario, Arcadi. En Periodista Digital la han reproducido sin dar crédito a EP, ni tan siquiera por la traducción… sólo citan a Der Spiegel.
Solo un apunte más sobre la última cita del señor Gates. Para las actualizaciones de Microsoft es necesario esperar a los segundos martes de cada mes (miercoles en España). Si existe un problema de seguridad catalogado de nivel cinco y no corregido, publican la actualización el cuarto martes del mes (si consiguen solucionarlo en esa quincena).
Que levante la mano el que no califique esto como una política de seguridad penosa. Sin entrar ya en discusiones de la calidad del soporte que te pueden ofrecer mientras esperas que publiquen la actualizacion.
Los no Microsoft:
Apple publica updates cuando consigue solucionar el problema.
En pbone.net, por poner un ejemplo, se actualizan paquetes del «core» de linux casi a diario.
…una comunidad monoespecifica SIEMPRE resulta más vulnerable, porque precisamente su falta de diversidad se convierte en crítica a la hora de reaccionar ante un ataque.
Mmmh… ¿Comparar la evolución de los sistemas electrónicos con la de los naturales? Eso es un terreno peligroso, porque el paralelismo no está tan claro, aunque la idea parezca brillante.
Cuando ofrecemos una mejora de Windows…
????@@@#####
Que quede clarito: Lo venden roto, ofrecen la reparación a posteriori, y eso lo llama una mejora.
«Cuantos menos sistemas operativos haya dentro de una empresa, mejor funcionan las cosas en materia de seguridad» (sobre todo si no son el suyo jeje)
Por esa regla de tres podemos decir algo que podría parecer una ovbiedad… «Cuantos menos equipos haya dentro de una empresa, mejor funcionan las cosas en materia de seguridad»
¿Un pelín tendencioso no?.
Los argumentos que expones están «traídos por los pelos»:
1.- «Cuantos menos sistemas operativos haya dentro de una empresa, mejor funcionarán las cosas en materia de seguridad».
Cierto. No encaja aquí el hecho de que las comunidades pluri-específicas reaccionen mejor frente a los ataques.
Los sistemas operativos no reaccionan en figura de ecosistema contra ataques externos con un componente de inteligencia o adaptación. Los ataques buscan los eslabones débiles de la cadena, buscan puertas de entrada al sistema o puntos vulnerables. Cuantos más sistemas haya más probable será que uno de ellos permita acceder a la red. Otro tema será si la «especie débil» que abra la puerta de la empresa será Windows, Linux, Unix, etc.
2.- También has puesto en la pluma de Brooks palabras que él no escribió. Lo que Brooks afirmó es que «añadir más personal a un proyecto con agenda retrasada, retrasará aún más su agenda». Y aunque estoy completamente de acuerdo contigo en que la eficiencia de un departamento no depende del número de personas que tenga, suponiendo que estamos hablando de una empresa y de un departamento eficiente, mucho mejor si en lugar de 100 personas tiene 1.000.
Los monopolios de facto no benefician al «ecosistema», pero las opiniones deberían ser más objetivas, lo contrario es dar la razón a Microsoft: «las críticas que nos hacen son más emocionales que objetivas».
No estoy de acuerdo, jpalacio. El problema o la diferencia de opinión viene de la llamada «unidad de análisis». Si tu unidad de análisis (o la de Mr. Gates) es la compañía, es posible que una compañía esté en mejor situación con un sólo sistema operativo. En ese caso, la discusión sería con cual, y por supuesto, si hablamos de seguridad, el elegido no sería Windows jamás. Pero si te vas a una unidad de análisis superior, es decir, comunidad o tejido empresarial en su conjunto, la solución ideal es la diversidad, porque ésta evita las «epidemias» un exploit determinado afectaría a una parte de la población, no a toda ella. Es exactamente igual que en la Biología: un organismo, salvo casos excepcionales, tiene la misma dotación genética en todas sus células. Sin embargo, la especie que sobrevive es la que posee individuos con una diversidad genética superior, variabilidad intraespecífica, no intraindividual.
En cuanto a Brooks y mi interpretación de su libro, me temo que tampoco estoy de acuerdo. Es un problema puro y duro de costes de transacción: al reducirse los costes de coordinación, el desarrollo pasa a optimizarse en un mecanismo de mercado frente a hacerlo en uno de jerarquía. Simplemente, la producción y desarrollo de software fue más eficiente hacerla en una empresa HASTA QUE llegó Internet. Ahora, el mejor desarrollo se hace en una entidad de mercado, no en una compañía. Simplemente, es más eficiente. Para detalles, te recomiendo Gurbaxani, V., and S. Whang, «The Impact of Information Systems on Organizations and Markets», Communications of the ACM, v34, n1, JAN. 1991.
Procura no quedarte con clichés. No soy un «exaltado», ni me muevo por argumentos «emocionales»… Mr. Gates no me ha hecho nada, no me ha robado nada, no se ha ido con mi mujer… Procuro ser en estos temas lo más neutral y lo menos tendencioso que puedo. Me pienso y elaboro mucho mis argumentos. Soy un científico. No me importa que me critiquen, para eso hablo, la crítica me enriquece. Pero al menos que las críticas no se queden en el cliché, porque los clichés siempre son empobrecedores…
Hombre, alguien con cabeza.
Ahora va a resultar que los ordenadores sufren mutaciones, se reproducen (¿será morboso verlos?) y de paso van mejorando la especie…
En fin.