GCCVIEWS

Etiqueta: open source

  • IA de código abierto: regular lo irregulable

    IA de código abierto: regular lo irregulable

    El Financial Times publicó esta semana una investigación que, según sus autores, debería inquietarnos: las barreras de seguridad integradas en modelos de inteligencia artificial (IA) de código abierto —como los de Meta o Google— pueden desactivarse en menos de diez minutos, sin hardware especializado y con herramientas disponibles en cualquier repositorio público. El resultado: sistemas que acceden a información sobre armas, malware o sustancias peligrosas. La reacción refleja predecible ha sido exigir más regulación. Pero antes de que los legisladores se lancen a una nueva cruzada prohibicionista, conviene hacer algunas preguntas incómodas.


    El espejismo del control en el punto de origen


    La lógica regulatoria dominante sitúa el problema en la fase de desarrollo: si las empresas construyen modelos más seguros, el daño queda contenido. Es una intuición comprensible pero profundamente errónea cuando se aplica a software de código abierto. Una vez que los pesos de un modelo se distribuyen libremente por internet —como ocurre con Llama de Meta o Gemma de Google—, el código se convierte en un bien público irreversible. Regularlo en origen es tan efectivo como haber intentado prohibir Linux o el protocolo BitTorrent. Los expertos citados en el propio reportaje lo admiten sin rodeos: «Es poco probable que los gobiernos puedan impedir que actores decididos accedan o modifiquen modelos una vez que sus pesos se encuentren ampliamente replicados online.»

    «Regular el código abierto en origen es tan efectivo como haber intentado prohibir Linux o el protocolo BitTorrent.»


    Esta no es una posición radical. Es simplemente la realidad técnica y económica de cómo funciona la distribución digital. Y sin embargo, los marcos regulatorios que se están construyendo —el AI Act europeo, los enfoques emergentes en el Reino Unido y Estados Unidos— siguen apostando mayoritariamente por controles sobre los desarrolladores originales, como si el resto de la cadena no existiese.


    Los costos invisibles de la prohibición


    El debate sobre la seguridad de la IA tiende a contabilizar sólo los riesgos de la tecnología y a ignorar por completo los costos de su supresión. Pero esos costos existen y son enormes. Los modelos de código abierto democratizan el acceso a la IA (inteligencia artificial): médicos rurales en países sin infraestructura tecnológica, periodistas en regímenes autoritarios, investigadores académicos sin presupuesto para APIs comerciales, pequeños emprendedores que compiten con gigantes corporativos. Todos ellos dependen de sistemas que ninguna empresa cerrada les ofrecería en igualdad de condiciones. Cuando los reguladores hablan de «restringir los modelos de código abierto de alto riesgo», rara vez mencionan a estos usuarios. Sus costos no aparecen en los informes del Financial Times.


    La alternativa cerrada tampoco es el paraíso de la seguridad que sus defensores proclaman. Los modelos propietarios de OpenAI, Anthropic o Google son igualmente vulnerables a los llamados «jailbreaks», sometidos a presiones comerciales que a menudo priorizan el lanzamiento sobre la auditoría, y opacos por definición: nadie puede examinar sus pesos, sus sesgos ni sus fallos. La seguridad que ofrecen es en gran medida una seguridad de marca, no una garantía técnica verificable.


    Dónde tiene sentido actuar


    La perspectiva liberal no implica ingenuidad ante los riesgos reales. Implica precisión en el diagnóstico y proporcionalidad en la respuesta. Los expertos del propio artículo apuntan en la dirección correcta cuando señalan que la regulación sería «más efectiva si se enfocara en el despliegue, la distribución y el uso dañino en el mundo real», en lugar de en la capa de desarrollo. Eso es razonable. El abuso concreto de un modelo —ya sea para fabricar malware, generar desinformación o diseñar armas— puede perseguirse mediante el derecho penal existente, sin necesidad de crear nuevos cuerpos burocráticos que supervisen el entrenamiento de modelos como si fuese enriquecimiento de uranio.


    Del mismo modo, los estándares de transparencia sobre el uso real de estos sistemas en infraestructuras críticas —salud, energía, justicia— son razonables y justificables. Lo que no lo es es construir un régimen de licencias y restricciones previas que, en la práctica, sólo podrán cumplir las grandes corporaciones tecnológicas con ejércitos de abogados, mientras los actores pequeños y los investigadores independientes quedan excluidos del ecosistema. Eso no es seguridad. Es la captura regulatoria de siempre con un barniz de ingeniería de sistemas.


    El conocimiento no se regula: se gestiona


    Hay una tensión irresuelta en el corazón de este debate: los mismos actores que más se beneficiarían de restricciones al código abierto —las grandes empresas de IA propietaria— son quienes más recursos tienen para influir en el diseño de esa regulación. No es una teoría conspirativa; es la dinámica habitual de cualquier mercado regulado. El resultado casi invariable es lo que los economistas llaman «barreras de entrada disfrazadas de bien público».


    El conocimiento técnico, una vez distribuido, no puede devolverse a la caja. La historia de internet, de la criptografía, del software libre, lo demuestra sin excepción. Los modelos de IA de código abierto son ya parte del paisaje tecnológico global, y ninguna directiva emanada de Bruselas o Washington va a cambiar ese hecho. Lo que sí pueden hacer los gobiernos es invertir en educación digital, en marcos de responsabilidad civil claros para el mal uso demostrado y en investigación pública sobre seguridad. Eso requiere menos retórica de emergencia y más paciencia institucional. Virtudes, hay que reconocerlo, escasas en temporada electoral.

  • Linux: cuando la generosidad de un programador cambió el mundo

    En agosto de 1991, un mensaje pasó casi desapercibido en un foro de informática. Su autor, un joven estudiante finlandés de 21 años, escribió: “Estoy haciendo un sistema operativo gratuito (solo un hobby, no será grande ni profesional como GNU) para clones 386(486) AT”. Se llamaba Linus Torvalds, y su modestia resultó histórica: ese “hobby” terminaría convirtiéndose en Linux, el corazón silencioso del mundo digital moderno.

    La historia de Linux nace, como tantas innovaciones, de la frustración. Torvalds usaba MINIX, un sistema operativo educativo diseñado por Andrew Tanenbaum. MINIX funcionaba, pero era limitado: estaba hecho para enseñar, no para aprovechar el potencial real de las nuevas computadoras personales. Linus quería algo más potente, flexible y útil. Así, desde su pequeño departamento en Helsinki, comenzó a escribir su propio kernel: el núcleo que gestiona los recursos de un equipo y permite que el software dialogue con el hardware.

    En septiembre de 1991 publicó la versión 0.01: apenas 10.239 líneas de código, suficientes para arrancar una máquina, ejecutar un intérprete de comandos y realizar operaciones básicas. Lo verdaderamente revolucionario no fue su tamaño, sino su licencia. Linus lo liberó gratuitamente en Internet e invitó a otros programadores a examinarlo, modificarlo y mejorarlo. En una época en la que el software era sinónimo de control corporativo —código cerrado, licencias caras y acceso restringido—, el gesto de Torvalds fue casi contracultural.

    Ese acto de generosidad encendió una chispa. Poco a poco, desarrolladores de todo el mundo comenzaron a colaborar: corregían errores, añadían funciones, adaptaban el kernel a nuevas arquitecturas. En 1992, Linus adoptó la licencia GPL creada por la Free Software Foundation, que garantizaba que cualquier mejora realizada por cualquier persona o empresa debía mantenerse libre. Ese detalle legal impulsó una de las mayores colaboraciones tecnológicas de la historia.

    Para mediados de los años 90, Linux dejó de ser “un hobby” y se convirtió en un sistema operativo robusto, estable y capaz de competir con gigantes. Las empresas pronto lo adoptaron: era gratuito, seguro y perfecto para servidores. Con la explosión de Internet, Linux se volvió el motor del mundo digital. Y más tarde, con la llegada de Android en 2008, pasó a vivir en los bolsillos de miles de millones de personas.

    Hoy, Linux domina territorios invisibles pero fundamentales:

    • Más del 96% de los grandes servidores web.
    • Los 500 supercomputadores más veloces del planeta.
    • La infraestructura de nubes como AWS, Google Cloud y Azure.
    • Sistemas críticos de telecomunicaciones, banca, aviación y ciencia.
    • La exploración espacial: desde rovers en Marte hasta la Estación Espacial Internacional.

    El kernel supera los 27 millones de líneas de código, con aportes de más de 19.000 desarrolladores y 1.400 empresas. Es, en esencia, el mayor proyecto colaborativo en la historia de la humanidad.

    Pero la verdadera revolución de Linux no fue tecnológica, sino cultural. Demostró que la apertura puede superar al secreto, que la colaboración puede competir con la propiedad exclusiva, y que un programador que regala su trabajo puede terminar creando la base del mundo digital.

    Linus Torvalds no solo escribió código brillante. Demostró que la generosidad también es una arquitectura viable, capaz de sostener internet, la ciencia, la industria y miles de millones de dispositivos.

    Linux no solo cambió la informática: cambió lo que creemos posible cuando la libertad y la colaboración se ponen al servicio del mundo.

  • Vulnerabilidad crítica en Linux: desafíos para la seguridad de código abierto

    Linux
    El pingüino Tux es la mascota de Linux, un sistema operativo que nació en 1991. Wikimedia Commons

    Hace apenas un mes saltaba la noticia de la aparición de una vulnerabilidad crítica en sistemas Linux que ponía en riesgo la seguridad de millones de ordenadores en Internet.

    Nos referimos a un sistema operativo de código abierto (open source), lo que quiere decir que su código fuente está disponible de manera pública. Esto permite que cualquier persona pueda estudiar su código, modificarlo e, incluso, distribuirlo. Normalmente, nos acostumbramos a trabajar sobre una distribución (como Debian, Ubuntu, Fedora, Red Hat…), que es una especie de “adaptación” de Linux. Todas las adaptaciones comparten la misma base: el núcleo o kernel de Linux.

    Linux mag / Wikimedia Commons
    Linus Torvalds, principal autor del kernel de Linux. CC BY

    A diferencia de los sistemas operativos propietarios como Windows o macOS, donde el código fuente es un secreto guardado por las empresas que los desarrollan, Linux se basa en la colaboración y la transparencia. Esta característica fundamental ha sido tanto su mayor fortaleza como su mayor desafío en términos de seguridad.

    La transparencia del código abierto permite una auditoría constante por parte de una amplia comunidad de desarrolladores, lo que garantiza su calidad y la detección rápida de posibles vulnerabilidades.

    Sin embargo, esta misma transparencia también puede ser aprovechada por usuarios malintencionados para intentar insertar código malicioso, como ha sucedido recientemente con el kernel de Linux.

    Descubierta una puerta trasera

    El kernel de Linux, software que constituye la parte fundamental de cualquier sistema operativo, actúa como intermediario entre el hardware y el software, garantizando estabilidad, seguridad y eficiencia. Sus componentes, como el administrador de memoria y el gestor de procesos, optimizan el uso de recursos y la ejecución de aplicaciones.

    Uno de estos componentes es XZ Utils (anteriormente conocido como LZMA Utils), una colección de utilidades de compresión y descompresión de datos diseñadas para sistemas Linux, que utilizan el algoritmo de compresión XZ/LZMA.

    Un desarrollador de Microsoft, Andrés Freund, notó que los inicios de sesión eran más lentos de lo habitual: 500 ms más lentos. Estos fallos le hicieron sospechar y seguir buscando hasta encontrar el error.

    El código malicioso se encontraba en versiones beta de distribuciones Linux muy populares, como Red Hat o Debian. Aparentemente, estas versiones no se estarían utilizando en entornos de producción reales. Tras este hallazgo, tanto Red Hat como Debian emitieron comunicados de alerta sobre el peligro potencial.

    El pasado 23 de febrero, se introdujo código ofuscado en el repositorio de XZ Utils, que se comportaba como una puerta trasera (secuencia especial del código de programación mediante la cual se pueden evitar los sistemas de seguridad del algoritmo para acceder al sistema).

    Comunicado de Andres Freund en la red social Mastodon, el 29 de marzo de 2024, informando de su descubrimiento.

    Al día siguiente, en una actualización, el script de instalación se volvía malicioso al insertarse en funciones utilizadas del servicio de conexión remota SSH o Secure Shell, un protocolo cuya principal función es el acceso remoto a un servidor por medio de un canal seguro en el que toda la información está cifrada..

    El desarrollador JiaT75 fue responsable de estos cambios. Tras haber colaborado altruistamente con el proyecto XZ Utils durante varios años, aprovechó la confianza generada en la comunidad open source para realizar estas acciones sin levantar sospechas.

    Infiltrado con malas intenciones

    Si investigamos un poco sobre este usuario, podemos ver que comenzó con su perfil de GitHub el 26 de enero del 2021. Participó con otros proyectos durante más de un año antes de empezar a colaborar en el repositorio de XZ Utils. No fue hasta mayo del 2022 cuando se pueden apreciar sus primeras aportaciones.

    La identidad real de JiaT75 ha suscitado preocupantes teorías, incluida la posibilidad de que no sea un cracker aislado, sino parte de un grupo respaldado por algún gobierno.

    Este grupo habría construido cuidadosamente un perfil como desarrollador de código abierto hasta convertirse en mantenedor del proyecto XZ Utils, solo para utilizar su posición para infiltrarse en millones de máquinas a través de la puerta trasera.

    En cualquier caso, aunque no hay pruebas concluyentes que respalden esta hipótesis, la complejidad y la meticulosidad del ataque sugieren la participación de actores con recursos y conocimientos significativos en el ámbito de la ciberseguridad, el desarrollo de software y los proyectos open source. El cóctel perfecto para lograr su cometido.

    Una comunidad que colabora frente a las amenazas

    La infiltración de un desarrollador y la inserción gradual de código a lo largo del tiempo ha sorprendido a todos y ha dejado al descubierto una realidad preocupante: es la primera vez que se introduce código malicioso en Linux de esta manera.

    Esta novedad plantea distintas preguntas sobre la seguridad del ecosistema de código abierto y la forma en que se abordan los riesgos emergentes.

    Mapa conceptual del software libre.
    VARGUX / Wikimedia Commons, CC BY

    ¿Cómo se pueden prevenir estos ataques en el futuro? La respuesta requiere una evaluación detallada de los procesos de desarrollo. Se necesitan medidas más rigurosas de supervisión y validación del código para detectar vulnerabilidades antes de que afecten a los usuarios finales.

    Este incidente nos recuerda los desafíos constantes que enfrenta la seguridad de la información en la era digital. El movimiento del software libre ha transformado nuestra forma de utilizar la tecnología, en la que destaca la colaboración global y una actitud proactiva para proteger nuestras infraestructuras digitales de amenazas cada vez más sofisticadas.The Conversation

    Álvaro Núñez – Romero Casado, Docente en Máster de Seguridad Informática, UNIR – Universidad Internacional de La Rioja

    Este artículo fue publicado originalmente en The Conversation. Lea el original.