CSA o cómo intentar que una descarga de software no sea una tortura
Hay muchas páginas de descargas de software, desde Download.com a la española Softonic, pasando por Softpedia y otras muchas de menor tamaño. Descargarse e instalarse un programa de una de ellas a veces resulta una tortura. Durante el proceso de instalación el usuario tiene que ir esquivando la instalación de toolbars, de aplicaciones de terceros, desmarcar casillas de complementos varios y zafarse del adware que incluyen algunos ejecutables.
Si el usuario no está atento la próxima vez que abra su navegador tal vez la página de inicio sea otra y la interfaz esté tuneada con una hermosa barra de navegación que nunca había pedido. El problema lleva tiempo existiendo, pero no ha sido hasta ahora que una parte de la industria de Internet se ha puesto en movimiento para evitar este tipo de abusos.
Recientemente Microsoft, algunas compañías de antivirus y proveedores de software han acordado el lanzamiento de la Clean Software Alliance Initiative (CSA), con el objetivo de establecer una serie de reglas que protejan a los usuarios cuando descarguen software de este tipo de páginas en Internet. Righard Zwienenberg, investigador de seguridad de la firma de antivirus Eset, forma parte de la fuerza de trabajo que ha definido los estándares del a CSA.
“Básicamente tiene que ver con que las plataformas de descargas se comporten. Esto quiere decir que no haya opt-out sino opt-in, de manera que nada pueda estar seleccionado por defecto para ti. Todo tiene que estar claro, así que no tiene que haber lenguaje ambiguo”, explica Zwienenberg. También apunta que el usuario tiene que tener la posibilidad de desinstalar completamente el producto, sin dejar rastro en su equipo. En la desinstalación de un programa solo se podrá ofrecer otro a cambio, pero no varios.
La CSA tiene previsto poner en marcha un sistema de firma digital. Los programas que no tengan la etiqueta correspondiente no se podrán instalar en un equipo, pues lo impedirá el antivirus (si la empresa que lo desarrolla está entre las que siguen los estándares de la alianza). La efectividad podría verse mermada si la responsabilidad recayera solamente sobre estas compañías. Pero Zwienenberg confía en que el movimiento sea más amplio. “Como Microsoft es también un miembro de la CSA puede ser que en una versión futura de Windows, cualquier cosa que no tenga la etiqueta no se pueda instalar”, concluye.
Tal vez Microsoft sea el plato fuerte, pero en la CSA también participa como miembro Google Chrome, el navegador más extendido en estos momentos. Entre las ausencias llamativas está Apple, cuya postura oficial –aunque matizada hace unos años– sigue siendo que Mac OS es prácticamente inmune a los virus, así como los navegadores Mozilla Fierfox y Opera. Sin que estén muchos miembros estén confirmados oficialmente, la organización está en conversaciones con Android y con Chromebook para que estas plataformas se sumen, lo que no debería ser difícil teniendo en cuenta que otro de los productos de Google ya ha dado el sí.
Las plataformas de descargas que adopten los estándares pueden enviar sus productos a la CSA, donde serán validados y recibirán una etiqueta. Si las plataformas infringen los términos en el futuro se les puede revocar la etiqueta y ningún contenido procedente de esa plataforma se podrá instalar.
Sin normativa a la que agarrarse
En la legislación, al menos en la española, no existe ninguna normativa con la que combatir este tipo de abusos. El problema podría llegar a ser una falta porque no se informa al usuario correctamente, pero es muy difícil probar las consecuencias que esto ha tenido para para dicho usuario. “Habría un vicio en el consentimiento del contrato”, destaca Sergio Carrasco, abogado especializado en derecho tecnológico. “Mi consentimiento depende de estar bien informado”.
“El problema es cómo valoras tú las consecuencias que ha tenido esa instalación para ti. Si solo es adware, lo que yo puedo pedir es que se rescinda el contrato o que la cláusula no se tenga por establecida. No hay más consecuencia. No puedo pedir nada por unos daños que no se han producido”, explica Carrasco.
El abogado añade que cuando un usuario acepta instalar un adware lo hace pensando que los ingresos por publicidad van a parar al desarrollador del programa. No especificar que la beneficiaria es la página de descarga conlleva un vicio en el consentimiento. Carrasco estima que la solución más sencilla para proteger al usuario debería venir de parte de la industria. “Muchos de estos portales de descarga están por encima de las páginas oficiales del software. Si participan las empresas responsables de buscadores podrían tener en cuenta esto a la hora de asignar la prioridad en los resultados, por ejemplo”.
Necesidad de flexibilidad
La empresa de antivirus para la que trabaja Zwienenberg, Eset, no será miembro de la CSA, a pesar de que tiene representación en la fuerza de trabajo. El investigador de seguridad afirma que es porque quieren que su antivirus se reserve el derecho a ser más tajante que los estándares establecidos. “Pronto se empezarán a buscar los casos fronterizos para pasar por encima. Un nuevo sistema operativo o una nueva versión podrían traer nuevas oportunidades para ‘los malos’. Y estas no las hemos cubierto en los estándares de la CSA porque no las conocemos aún”.
Si un antivirus, por su cuenta, Microsoft o un navegador tienen agregar nuevas normas para proteger a sus usuarios lo pueden hacer con más agilidad que si estas tienen que ser aprobadas por el conjunto de entidades que forman la CSA. Entre estas entidades está previsto que se encuentren los portales de descargas de software, que en definitiva son las que ganan dinero empaquetando instaladores con aplicaciones de terceros. Ellos pagan a los proveedores de software por cada descarga y cobran por la instalación de estas aplicaciones de terceros, toolbars y adware. Si no tienen la etiqueta o la pierden muchos usuarios dejarán de poder descargarse sus contenidos, con lo que se frenarán los ingresos del portal.
Imagen: Wade Morgen