Código espía en Ubuntu: ¿qué hacer?
por Richard StallmanDesde la versión 16.04 de Ubuntu, el servicio espía de búsqueda está ahora deshabilitado por defecto. Al parecer la campaña de presión lanzada por este artículo ha tenido algún éxito. No obstante, ofrecer el servicio espía de búsqueda como una opción es todavía un problema, como se explica más abajo. Ubuntu debería hacer de la búsqueda en la red un comando que los usuarios puedan ejecutar de vez en cuando, no una opción semipermanente que los usuarios habiliten (y probablemente olviden).
Aun cuando la situación descrita en el resto de esta página ha cambiado en parte, la página sigue siendo importante. Este ejemplo debería servir para que nuestra comunidad no vuelva a hacer tales cosas, pero para que eso suceda hemos de seguir hablando de ello.
Una de las mayores ventajas del software libre es que la comunidad protege a los usuarios contra el software malicioso. Ahora Ubuntu GNU/Linux se ha convertido en el ejemplo contrario a esto. ¿Qué podemos hacer?
El software privativo va ligado al maltrato del usuario: código para espiarlo, esposas digitales (DRM o Gestión Digital de Restricciones) para imponer limitaciones a los usuarios y puertas traseras que pueden hacer cualquier trabajo sucio mediante control remoto. Los programas que cumplen estas funciones se llaman «programas dañinos» (malware) y deben ser tratados como tales. Ejemplos típicos son Windows, las iCosas[1] y el Kindle de Amazon, producto que sirve para «quemar»[2] libros en forma virtual y mediante el cual se realizan las tres funciones mencionadas de maltrato al usuario; Macintosh y la Playstation III, que imponen la DRM; casi todos los teléfonos móviles, porque sirven para espiar y tienen puertas traseras; Adobe Flash Player, que espía e implementa la DRM; muchísimas aplicaciones para las iCosas y Android, responsables de muchas de estas prácticas indeseables.
El software libre le brinda al usuario la posibilidad de protegerse contra estos comportamientos maliciosos del software. Mejor aún, generalmente la comunidad de desarrolladores protege a todo el mundo y los usuarios no tienen que mover un dedo. He aquí cómo sucede.
De vez en cuando los usuarios que saben programar descubren que algún programa libre contiene código malicioso y generalmente lo que hacen es publicar una versión corregida del programa; pueden hacerlo gracias a las cuatro libertades que definen el software libre. A eso se le llama un «fork» del programa. Pronto la comunidad cambia a la versión corregida (el «fork») y la versión maliciosa es rechazada. La perspectiva de vergonzoso rechazo no es muy tentadora, por lo que la mayoría de las veces los programadores —incluso aquellos que no se detienen ante sus propias conciencias ni ante la presión social— se abstienen de colocar funcionalidades maliciosas en el software.
Pero no siempre. Ubuntu, la ampliamente usada e influyente distribución de GNU/Linux, ha instalado código de vigilancia. Cuando un usuario utiliza el escritorio de Ubuntu para hacer una búsqueda en sus propios archivos locales, Ubuntu envía el texto de esa búsqueda a uno de los servidores de Canonical, la empresa que desarrolla dicha distribución.
Esto es igual a la primera práctica de espionaje que descubrí en Windows. Mi difunto amigo Fravia me comentó que cuando hacía búsquedas en los archivos de su sistema Windows, el cortafuegos detectaba que Windows enviaba un paquete a un servidor. Dado este primer ejemplo, presté atención y me di cuenta de que el software privativo que goza de cierta «reputación» tiene tendencia a ser malware. Quizás no sea coincidencia que Ubuntu envíe la misma información.
Ubuntu usa la información sobre las búsquedas para mostrar al usuario publicidad de productos vendidos por Amazon. Amazon es conocida por sus malas prácticas; promocionando a Amazon, Canonical favorece a esa empresa. Sin embargo, la publicidad no es el centro del problema. El asunto principal es el espionaje. Canonical afirma que no revela a Amazon quién busca qué. De todos modos, el hecho de que Canonical recoja los datos personales de los usuarios es tan malo como si lo hiciera Amazon. La vigilancia de Ubuntu no es anónima.
Alguien podrá seguramente hacer una versión modificada de Ubuntu que carezca de esa funcionalidad de vigilancia. De hecho, varias distribuciones de GNU/Linux son versiones modificadas de Ubuntu. Cuando estas distribuciones se actualicen a la última versión base de Ubuntu, espero que la eliminen. Seguramente Canonical también supone que es lo que sucederá.
Ante la posibilidad de una migración masiva hacia otra versión corregida, muchos desarrolladores de software libre abandonarían ese plan. Canonical sin embargo no abandona el código espía de Ubuntu. Quizás Canonical supone que el nombre «Ubuntu» ha adquirido ya tanta fuerza e influencia que les permite eludir las consecuencias de esta vigilancia.
Canonical asegura que esta funcionalidad busca en internet de otras formas. Dependiendo de cómo lo haga, esto puede o no acrecentar el problema, pero no lo disminuye.
Ubuntu da a los usuarios la posibilidad de desactivar la función de vigilancia. Evidentemente Canonical piensa que muchos usuarios de Ubuntu dejarán esta funcionalidad en su valor predefinido (activada). Y muchos lo hacen, porque no se les ocurre que pueden hacer algo al respecto. Aun así, la existencia de ese conmutador no hace que la funcionalidad de vigilancia sea buena.
Incluso si estuviese desactivada por omisión, la funcionalidad podría seguir siendo peligrosa: «actívela una vez y para siempre» es una práctica peligrosa donde los riesgos varían dependiendo de las circunstancias, invitando al descuido. Para proteger la privacidad de los usuarios, los sistemas deben facilitar la prudencia: cuando en una búsqueda local un programa realiza una búsqueda en la red, debe ser decisión del usuario escoger la búsqueda ampliada explícitamente cada vez. Esto es fácil: solo es necesario que haya botones separados para búsquedas locales y búsquedas en la red, como en las versiones anteriores de Ubuntu. Una funcionalidad de búsqueda en la red debe también informar al usuario clara y explícitamente sobre quién puede obtener esa información personal y cuándo se está usando esa característica.
Si una parte considerable de los líderes de opinión de nuestra comunidad ven este problema en términos personales solamente, desactivan la vigilancia para ellos mismos y continúan promoviendo Ubuntu, a Canonical no le importará. Esto sería una gran pérdida para la comunidad del software libre.
Quienes presentamos el sofware libre como protección contra el malware no proclamamos que sea una protección perfecta. No existe ninguna protección perfecta. Nosotros no decimos que la comunidad eliminará los programas dañinos sin excepción. Por lo tanto, estrictamente hablando, el hecho de que Ubuntu contiene código espía no implica que tengamos que tragarnos nuestras palabras.
Pero aquí lo que está en juego es mucho más que el hecho de que algunos de nosotros tengamos que tragarnos nuestras palabras. Lo que está en juego es si nuestra comunidad puede o no usar eficazmente el argumento del software espía privativo. Poder decir solamente «el software libre no te espiará, a menos que sea Ubuntu», es mucho menos eficaz que decir «el software libre no te espía».
Nuestra responsabilidad es manifestarle a Canonical toda la repulsa necesaria para que terminen con esto. No hay excusa de Canonical que valga. Incluso si todo el dinero que recibe de Amazon lo usara para desarrollar software libre, tal iniciativa difícilmente podrá compensar la pérdida que sufrirá el software libre si deja de presentarse como una manera eficaz de evitar que se maltrate a los usuarios.
Si alguna vez recomienda o redistribuye GNU/Linux, por favor elimine Ubuntu de las distribuciones que recomienda o redistribuye. Si la práctica de Ubuntu de instalar y recomendar software que no es libre aún no le ha convencido, esto debería convencerle. En los festivales de instalación, en los «Día del Software Libre», en los eventos de FLISOL, no instale ni recomiende Ubuntu. En lugar de ello, advierta a la gente que Ubuntu es una distribución a evitar debido a sus funcionalidades de vigilancia y espionaje.
Y cuando lo haga, puede también decirles que Ubuntu contiene programas que no son libres y que invita a instalar otros programas que tampoco son libres (véase «Por qué no avalamos otros sistemas»). De esta manera se puede contrarrestar la otra forma de influencia negativa que Ubuntu ejerce en la comunidad: legitimar el software que no es libre.
La presencia de software que no es libre en Ubuntu constituye un problema diferente de orden ético. Para que Ubuntu pueda considerarse ética, deberá corregir también esto.