¿Es realmente un riesgo para las empresas hacer su código público?
Fluid Attacks, empresa experta en el desarrollo de soluciones de ciberseguridad, explica los beneficios que tiene para las organizaciones implementar y mantener el software de código abierto (OSS, open source software) en sus sistemas, las diferencias que este tiene con el software de código cerrado, y cómo esta medida puede ser una gran estrategia corporativa.
Para Mauricio Gómez, co-fundador de Fluid Attacks, ‘Uno de los beneficios que las organizaciones tienen cuando usan el código abierto es, contrario a lo que se puede suponer, la seguridad. Con el OSS sucede que muchos ojos lo están observando detalladamente al mismo tiempo y a su vez diferentes manos lo revisan periódicamente. Esto hace que las posibilidades de pasar por altos riesgos de ciberseguridad sean mucho menores que cuando el proyecto de desarrollo de software es privado’.
Al implementar el código abierto existe una gran posibilidad de que una amplia comunidad, con diversidad de miembros, pueda detectar y corregir fallas y vulnerabilidades en el código de una manera mucho más rápida, en comparación con un grupo pequeño de desarrolladores que pertenecen a una sola empresa y que trabajan sobre un código cerrado o privado.
El vocero de Fluid Attacks explica: ‘Muchas empresas mantienen su código en secreto, algunas de ellas incluso lo tienen bien asegurado, solamente para preservar la idea que las hace únicas frente a la competencia. Otras, ocultan solo partes ‘esenciales’ y exponen el resto para beneficiarse del trabajo de la comunidad. Sin embargo, también están las que lo comparten todo, generando un efecto de confianza y transparencia en sus clientes o usuarios por la seguridad que brindan, centrándose en recibir ingresos a través de la oferta de servicios relacionados con su OSS y no a través de la venta del mismo’.
Hace unos meses, se conoció que los códigos fuente de las aplicaciones móviles de reconocidas instituciones en Latinoamérica fueron filtrados y revelados en la web. Por su parte, dichas instituciones informaron que no hubo impacto alguno en la seguridad de los sistemas y los datos confidenciales de los clientes. Esas aplicaciones, que mantenían el código en privado, se convirtieron inesperadamente en OSS, oculto o abierto, la seguridad del código depende necesariamente de lo sólida y calificada que haya sido su elaboración. Sin embargo, esta situación pudo involucrar pérdida de confianza en los usuarios y disminución de la reputación de dichas organizaciones.
Es posible encontrar vulnerabilidades o fallas tanto en el software abierto como en el cerrado. Se cree erróneamente que mantener los sistemas con la menor exposición posible los hace más seguros. No obstante, ese aislamiento suele conllevar insuficientes evaluaciones de seguridad y lentas identificación y reparación de vulnerabilidades.
Concluye Mauricio: ‘Tener el código oculto no significa necesariamente mantenerlo protegido. La seguridad del código depende de su solidez y calidad, por lo cual, preferiblemente, debe ser revisado de forma continua, tal como puede ayudarle a hacerlo Fluid Attacks, con un amplio número de hackers éticos trabajando al tiempo, y dentro de un servicio especial de Hacking Continuo. Hemos de aclarar que no ha de existir ningún misterio al hacer público un código, desde que este no contenga información particular del negocio. Como, por ejemplo, contraseñas, reglas de negocio, o porciones con comentarios. Si el código cae en manos desconocidas, este debe protegerse ‘por sí mismo’, sin revelar secreto alguno’.
