Índice
¿Porqué el software defectuoso está exento de responsabilidades legales?
Seguro que recuerdas la crisis sanitaria de la carne mechada. Una intoxicación causada por un producto comercializado en mal estado que ponía en riesgo la salud de las personas. Varias empresas y sus responsables han sido requeridas por la justicia.
Y seguro que también has oido hablar de ciberataques masivos a ciudadanos y empresas últimamente. ¿Sabes que algunos se han hecho aprovechando errores y fallos de seguridad en el sistema operativo de los dispositivos?
Si a una empresa de alimentación que comete una negligencia y causa graves daños le sancionamos duramente, ¿es razonable que un fabricante de software que distribuye un producto con errores que comprometen la seguridad de los ciudadanos y empresas no tenga ninguna responsabilidad sobre los daños ocasionados?
¿Porqué nos hemos habituado a los errores y parches de seguridad de algunas empresas? ¿Debería el marco legal protegernos en esto?
La normalización de los parches de seguridad en sistemas operativos
Si comparas las consecuencias jurídicas para una empresa automovilística que vende un coche con un fallo en los frenos a una empresa que comercializa un software con un fallo que permite que los cibercirminales roben los datos personales de sus usuarios, verás que el trato legal es muy diferente. Lo que demuestra que aún las leyes no están actualizadas a la nueva era digital.
Los fabricantes de software han conseguido ‘normalizar’ el hecho de que cuando se produce un ciberataque utilizando una vulnerabilidad del sistema operativo, la responsabilidad es del cliente que no ha instalado el ‘parche de seguridad’ que corrige el error. Pero, ¿qué pensarías si el fabricante de tu coche te haría revisar los frenos cada vez que vas a conducirlo?
Esto es doblemente injusto y peligroso. Primero porque suministran un producto defectuoso que pone en riesgo a sus clientes, y segundo porque generan continuos parches de seguridad que informan a los ciberdelincuentes de vulnerabilidades para comprometer la seguridad de empresas y ciudadanos.
Varios ciberataques mundiales se hicieron utilizando fallos de seguridad en sistemas operativos de los que el fabricante había informado previamente.
¿Es seguro que se informe públicamente de los parches de seguridad?
Como hemos comentado arriba, informar a los usuarios de estas brechas en la seguridad de sus dispositivos es lo habitual, pero también permite que los cibercriminales se enteren de los mismos.
¿Es esta la mejor solución que se propone para solventar este riesgo ? …
?No deberían los fabricantes ser capaces de arreglar las brechas sin requerir intervención del usuario, e informando únicamente a los clientes de que ya han sido corregidas?.
Los procesos actuales de ingeniería y calidad en el desarrollo de software son suficientemente eficaces como para detectar todas los defectos antes de sacar a producción una nueva versión, pero ocurre que muchos recortan la fase de calidad (asumiendo que tendrá errores) para ahorrar costes, absorber devios de planificación en el proyecto, o salir al mercado antes que la competencia, con el riesgo que esto supone para los clientes consumidores.
La seguridad de los ciudadanos debería estar por encima de los intereses de las empresas, y quizás el marco legal debería contemplar esto con nuevas leyes que les protejan.
La seguridad total no existe, pero está en manos de todos estar lo menos expuestos posible.
