Este verano, un periodista de la revista Wired se ofreció voluntario para colaborar en una dramática demostración con un cierto riesgo. Mientras Andy Greenberg conducía a 110 km por hora por la autopista en Sant Louis, dos expertos en seguridad informática tomaron control de su Jeep Cherokee, instalados en un sótano a más de diez kilómetros de distancia. Primero encendieron el aire acondicionado y conectaron la radio; activaron los limpiaparabrisas y finalmente, hackearon la pantalla del sistema de navegación y aparecieron en ella para burlarse del espantado conductor. El incidente, explicado con todo detalle en la web de la revista, provocó que Jeep tuviese que actualizar el software de millón y medio de vehículos para subsanar el fallo de seguridad. Ni siquiera era la primera vez que ocurre; otros investigadores han conseguido introducir un virus en el software de un vehículo a través del lector de CD de la radio, y desactivar los frenos.
Un coche fabricado en 2015 es, cada vez más, un ordenador con ruedas. La cantidad de código informático que lleva un vehículo de última generación se cuenta en decenas de millones de líneas de código informático: es lo que hace posible los sistemas de navegación que nos guían, o los sistemas de seguridad anticolisión o de asistencia para aparcar. Y allí donde hay software hay vulnerabilidades de seguridad, fallos no detectados, y quizás, como hemos visto en el caso de Volkswagen, funciones secretas que nadie conoce y que no deberían estar allí.
El problema del software es el mismo problema en todas partes. Está en el Smartphone que sustituyó al teléfono tradicional; en la tableta y el ebook que reemplazaron al papel. Está en el frigorífico y en el microondas, en la puerta automática del garage. Está en el termostato inteligente que regula la temperatura de casa y en el contador que mide su consumo eléctrico. Está en el podímetro digital que cuenta nuestros pasos cuando salimos a correr, e incluso en dispositivos médicos que llevamos pegados a nuestro cuerpo y que pueden controlar nuestras constantes vitales.
Hubo una época en que la mayoría del código de electrodomésticos y otros productos de consumo había sido instalado de fabrica, y raramente era modificado. Esa época está llegando a su fin. Los vehículos eléctricos Tesla, por ejemplo, ni siquiera necesitan ir al taller para modificar su software; se actualizan inalámbricamente por sí solos, de la misma manera que Apple actualiza las apps de sus teléfonos. Algunas actualizaciones han llegado a cambiar funciones tan básicas en un automóvil como su velocidad punta.
No confíes en un código que no podemos leer
A medida que progresivamente cada objeto se va conectando a la Red, se convierte en un objeto modificable y controlable a distancia en potencia, o en un objeto que comunica cosas sobre nosotros sin nuestro conocimiento. Desde las revelaciones del caso Snowden sabemos que el “Internet de las Cosas” es también “el Internet de las cosas que no nos cuentan todo lo que hacen en realidad”. Solo ahora estamos empezando a entender las implicaciones de este hecho.
El penúltimo gran escándalo tecnológico antes del que ha destrozado la reputación del Volkswagen se cobró como víctimas a los usuarios de Ashley Madison, la web de contactos extramaritales. Es irónico que los hackers que revelaron sus datos personales les revelaran también que, en vez de ayudarles a engañar a sus parejas, eran ellos los que estaban siendo engañados sistemáticamente, porque la mayoría de mujeres a las que intentaban cortejar nunca habían existido. Por no hablar de la información que aseguraban no guardar, y que guardaban sigilosamente, facilitando la salida del armario que sucedería después.
El código de Ashley Madison, como el de los vehículos Volkswagen, escondía en su interior una realidad poco discutida hasta hace poco; no tenemos manera de saber si un servicio o un objeto gobernado por software es lo que afirma ser, y solamente lo que afirma ser.
Dentro del capó de los coches Volkswagen está el dispositivo que contiene las líneas de código, la unidad de control del motor (ECU). Tiene el aspecto de una radio de coche, algo más delgada y mejor sellada. La ECU no es negra, pero es un ejemplo perfecto de lo que en estudios de ciencia y tecnología se llama una “caja negra”: mientras conducimos dependemos de él, pero no podemos saber cómo funciona realmente, ni que contiene, porque es completamente opaco. Aunque el vehículo sea nuestro, no tenemos derecho a pedir una copia del código para ver qué es lo que hace exactamente, ni mucho menos a modificarlo.
La inmensa mayoría de productos electrónicos de consumo que llevan en su interior código informático son completamente opacos, y su creciente complejidad hace que cada vez sea más inviable desmontarlos para entender cómo funcionan. Esto es un problema, y no sólo un problema de libertades o de derechos del consumidor. Para Eben Moglen, una de las mayores autoridades en derechos digitales, “el software propietario no es un material de construcción seguro, porque no se puede inspeccionar”.
Un código deontológico para programadores
Ni siquiera los investigadores de la industria del automóvil que se dedican a comprobar que el software de los vehículos es seguro pueden tener acceso a su código fuente. De hecho, en EEUU los fabricantes de automóviles se han resistido sistemáticamente a poner su código a disposición de expertos para su inspección. La legislación que les ampara es la DMCA, la misma que se desarrolló para proteger los derechos de autor en Internet.
La razón oficial de la negativa es que hacer disponible el código sería peligroso para los consumidores y para la sociedad al completo, ya que podrían modificarse las características de los productos y facilitar que se vulnerasen las normas de seguridad. Después del caso Volkswagen, sin embargo, será difícil justificar que los riesgos de la opacidad no superan a sus ventajas.
¿Cuál es la solución a la crisis de las cajas negras de software? Las modificaciones en la legislación y la presión de los consumidores pueden ayudar a que progresivamente sea más factible acceder al código, pero es igualmente importante aumentar los recursos para que organismos independientes y cuerpos reguladores puedan cumplir una función de vigilancia mucho más atenta. La realidad es que no sabemos cuántos escándalos Volkswagen pueden esconderse en los millones de líneas de códigos que nos rodean.
Y por supuesto, detrás del código hay personas que lo han escrito y activado, que han permitido que estos engaños tomen forma, que han aceptado seguir órdenes. La conversación deontológica en la comunidad de desarrolladores informáticos necesita ser tan prioritaria como en otras profesiones de gran impacto sobre la vida de los ciudadanos.