La comunidad open source en pie de guerra con Europa: no tienen culpa de los problemas de ciberseguridad

Europa Cybersecurity
5 comentarios Facebook Twitter Flipboard E-mail
lyzanor

Enrique Pérez

Editor Senior - Tech

Editor especializado en tecnología de consumo y sociedad de la información. Estudié física, pero desde hace más de diez años me dedico a escribir sobre tecnología, imagen y sonido, economía digital, legislación y protección de datos. Interesado en aquellos proyectos que buscan mejorar la sociedad y democratizar el acceso a la tecnología. LinkedIn

Hay un nuevo tira y afloja en el seno de la Unión Europea. La futura Ley de Ciberresiliencia ('Cyber Resilience Act') quiere atajar el problema de la ciberseguridad obligando a que los productos de software y hardware estén bien actualizados, pero la última propuesta legal tiene un problema de fondo que ha generado muchas críticas.

Alarma entre los desarrolladores open source.  En una carta abierta a la Comisión Europea, una docena de desarrolladores de la comunidad open source han expresado que la ley de ciberseguridad, tal y como está escrita ahora mismo, puede tener un "efecto devastador" en su trabajo.

Entre los firmantes se encuentran organizaciones de renombre como la Linux Foundation Europe, Eclipse Foundation o la Open Source Initiative. Un grupo que argumento que el open source representa el 70% de los desarrollos de software en Europa, pero que no goza de la protección que creen merecen.

No tienen los recursos necesarios. El último borrador exigirá que dispositivos como electrodomésticos inteligentes estén actualizados y se mantengan al día de los parches de seguridad. De lo contrario podrían enfrentarse a multas de hasta 15 millones de euros.

El objetivo es que el software entre dentro de las exigencias de certificación, independientemente de si los desarrolladores han publicado ese código como open source o de forma privativa. Unos requisitos que no todos los desarrolladores podrían estar preparados para afrontar.

¿Avisar antes de parchear? El Reglamento además solicitará que los desarrolladores avisen de vulnerabilidades no parcheadas, lo que podría derivar en que precisamente estos fallos lleguen a un mayor público, avisan desde la Electronic Frontier Foundation.

Piden una excepción. "El software libre y de código abierto desarrollado o suministrado fuera del curso de una actividad comercial no debe estar cubierto por el presente Reglamento", solicitan en la carta abierta.

El argumento es que estos desarrolladores de código abierto suelen ofrecer su trabajo como acto de buena voluntad, pero si se les exigen responsabilidades añadidas podrían abandonar el código y el proyecto ante el temor de ser multados por el posible uso que haga cualquier otra organización, que muchas veces utilizan software libre sin avisar al propio creador del código.

Establecer el baremo por debajo es el problema de siempre.  La problemática con la ciberseguridad es la misma que con la regulación de la IA. Los reguladores de la Unión Europea quieren establecer normas para asegurarse que todo se hace correctamente, pero no todos los implicados tienen los recursos necesarios para adaptarse. Puede estar bien que grandes empresas sigan este camino, pero al exigir a pequeñas empresas o desarrolladores open source se tiene el riesgo de pasarse de frenada. Y establecer el límite no es sencillo.

Organizaciones como Digital Europe han propuesto que se defina mejor qué significa actividad comercial para el software, con tal de establecer bien cuándo un software basado en open source debería cumplir los requisitos y cuándo no. Además explican que la necesidad de avisar de vulnerabilidades todavía no parcheadas en un producto que se pone a la venta es contraproducente.

Corregir estos problemas antes del texto final. Estos meses son de negociaciones. Para el 6 de julio se espera una reunión técnica final, mientras que el texto debería estar listo para el 19 de julio. Después del verano el Parlamento Europeo debería votar sobre esa propuesta. El objetivo de las organizaciones open source es que los responsables políticos sean conscientes de los riesgos de adoptar la ley de ciberseguridad tal y como está ahora planeada.

En Xataka | "Los piropos y los aplausos no son suficientes": el creciente hartazgo de los desarrolladores Open Source

Comentarios cerrados
Inicio