El estudio que prohibió difundir la industria del automóvil ha sido "liberado"

Uno de los derechos del ciudadano es el derecho a la información, que se define como aquel que permite a una persona buscar, recibir y difundir información en poder del gobierno y las administraciones públicas. Según las Naciones Unidas, se trata de parte integrante de la libertad de expresión. Por otra parte, la libertad académica o de cátedra no sólo contempla la libertad de enseñar y debatir sin verse limitado por doctrinas instituidas, sino también la de llevar a cabo investigaciones y difundir y publicar los resultados de las mismas.

Son dos raíces del mismo árbol que, no obstante, se encuentran en conflicto con los intereses de las empresas privadas, por muy diversas razones entre las que se puede encontrar también la seguridad de sus clientes. Lo ocurrido recientemente con Volkswagen es un buen ejemplo de ello: después de que la compañía consiguiese hace dos años que que la justicia inglesa impidiese la publicación de un estudio que descubría un problema de vulnerabilidad en el sistema de seguridad de varios modelos de automóvil, finalmente este mes de agosto ha permitido la publicación del estudio prohibido, eso sí, previa eliminación de una frase.

¿Seguridad o libertad de información?

El estudio había sido llevado a cabo por un estudiante de ciencias computacionales de la Universidad de Birmingham llamado Flavio García, y en él se exponía el algoritmo único que permitía que el coche verificase la identidad de la llave de arrancado, como explicaba un artículo publicado en The Guardian en 2013. Este problema de seguridad afectaba a modelos de Audi, Bentley y Lamborghini que empleaban el sistema conocido, todas ellas marcas de Volkswagen. La compañía denunció la investigación después de que sus autores le comunicasen su publicación y finalmente ganó ante el tribunal superior.

En declaraciones a la prensa, la compañía afirmaba que la publicación de esta investigación permitiría “que una banda criminal sofisticada, con las herramientas adecuadas, pudiese traspasar el sistema de seguridad y robar un coche”. La razón aducida para impedir la publicación del estudio, que iba a ser expuesto en el simposio sobre seguridad de Usenix, era por lo tanto de seguridad.

El público tiene el derecho de ver expuestas las debilidades de la seguridad en la que confían

Por su parte, los investigadores, entre los que también se encontraban dos criptográfos holandeses de la Universidad de Radboud, replicaron señalando que eran “académicos responsables y legítimos haciendo trabajo académico responsable y legítimo” con el objetivo no de ayudar a los ladrones a vulnerar la seguridad de un sistema deficiente, sino de mejorarlo.

“El público tiene el derecho de ver expuestas las debilidades de la seguridad en la que confían”, explicaban los investigadores, que recordaban que ocultar dicha información provocaba que el único perjudicado fuese el cliente, que desconoce aquello que “la industria y los criminales sí saben”. El conflicto parece claro: ¿es preferible ocultar la información que puede dejar en mal lugar a una marca por cuyos productos se pagan millones y dificultar el trabajo de los ladrones, o permitir su publicación en aras de la libertad académica y de acceso a la información? Una pregunta tanto más pertinente cuando el escándalo de Ashley Madison ha puesto de manifiesto que el usuario es el principal perjudicado de desconocer los problemas de seguridad de los sistemas en los que deposita su confianza.

Haciendo piña con el enemigo

El permiso de publicar finalmente la investigación puede interpretarse, quizá, como una señal de lo que podemos esperar en el futuro para estos conflictos entre el mundo académico y la industria. Como explica un artículo publicado en The Conversation, “el enfoque de Volkswagen de usar la justicia para intentar mantener la información bajo llave es el equivalente de meterse los dedos en tus oídos y esperar que todo salga bien”.

Compañías como Facebook, Google o Microsoft llegan a pagar recompensas de hasta 100.000 dólares a aquellos que detecten errores en su sistema

Tanto más cuando es cada vez más complicado poner puertas al campo, como se dice popularmente: que la investigación pudiese consultarse en internet ya desde el año 2009 sugiere que mucho más útil –tanto para una compañía como para sus usuarios– que intentar ocultar los problemas de seguridad es colaborar para alcanzar más fácilmente una solución. Algo que, como recuerda el artículo de The Conversation, ocurre con compañías como Facebook, Google o Microsoft que llegan a pagar recompensas de hasta 100.000 dólares a aquellos que detecten errores en su sistema: una decisión destinada a los hackers que se ven incentivados para, en lugar de crackear los sistemas, ayudar a mejorarlos.

El resultado más triste, no obstante, es que finalmente el problema de seguridad no fue solucionado. El hecho de que los investigadores avisasen a la compañía de la publicación del artículo antes de hacerlo indica que su objetivo no era tanto la gloria como el perfeccionamiento de un sistema defectuoso. Sin embargo, los tiempos han cambiado y ya no es posible ocultar una deficiencia para evitar la mala fama de los productos: son tiempos de actualizaciones, revisión continua e una inteligencia colectiva que detectará tus errores en menos que canta un gallo.