Desde Chile me escribe un lector que cree haber observado en el newsletter del pasado día 15 «animosidad contra el software de código abierto», a propósito del caso Heartbleed. No estoy en absoluto de acuerdo, así que tendrá que exponer por qué. Permitaseme que empiece por recuperar una frase de Jim Whitehurst, CEO de RedHat, señalando la existencia de dos fenómenos simultáneos: el rápido crecimiento de las compañías web ha provocado una explosión de la escritura de códigos open source, y la abundancia de desarrolladores ha facilitado la demanda por parte de los usuarios. Es un hecho que hasta las más recalcitrantes empresas de software ´propietario` se han acomodado, en distinto grado, a la existencia de open source adversarios del software abierto.

Uno de los argumentos que se esgrimen en favor del software abierto es que su seguridad es mejor que el ´propietario`, gracias a los procedimientos comunitarios de elaboración y revisión posterior de los programas. Recordemos que en Heartbleed no estamos hablando de malware sino de un código que no pasó por la necesaria validación. El programador alemán que cometió el error, lo ha admitido como una responsabilidad personal, y en varias entrevistas ha recalcado que el problema no está en el modelo open source sino en que, por su despiste accidental, no se siguieron las reglas de revisión.

La sinceridad es una virtud apreciable, pero aun así hay que preguntarse por qué esta vulnerabilidad en una rutina de seguridad de OpenSSL pasó tanto tiempo sin que nadie la advirtiera. Y por qué hasta hoy no se sabe si fue o no aprovechada y cómo. Desde luego, no es algo intrínseco al open source: el software ´propietario` no exhibe las mejores credenciales en la materia, y las empresas de seguridad se han cubierto de gloria.

Robin Steggelmann – el programador que trabaja para Deutsche Telekom – da una pista: el proyecto OpenSSL (secure sockets layer) es instrumentado por compañías como Google, Facebook, Amazon, Netflix y Yahoo, y por numerosos organismos gubernamentales, pero su desarrollo y mantenimiento tiene una notoria carencia de recursos. Véase lo que cuenta el Wall Street Journal: sólo 1 millón de dólares anuales es el presupuesto de la OpenSSL Software Foundation, que financia la actividad de cuatro programadores, de los que sólo uno trabaja a tiempo completo.

Comparar esa circunstancia con los fondos de los que dispone cualquier compañía de software comercial resulta sangrante. Microsoft tiene en plantilla cientos de especialistas en open source. La comparación pertinente hay que hacerla con Linux: compañías como Oracle, HP, IBM o Samsung – entre 180 en total – contribuyen con cuotas medias de medio millón a sostener la Linux Foundation.

De manera que las fantasías sobre el crowdsourcing olvidan mencionar este pequeño detalle: los proyectos de software abierto necesitan financiación, y esta debe venir de quienes ganan dinero gracias a ellos. Hay quienes opinan que la identificación «subliminal» entre Linux y open source se debe a la personalidad única de Linus Torvald, que escribió el código original en 1991; otros dicen que el secreto está en que las varias distribuciones de Linux, lejos de ser enemigas del mercado, han favorecido la aparición de interesantes modelos de negocio. Entre otros, también el floreciente Hadoop, es fruto de ese fenómeno.

Evidentemente, OpenSSL, a pesar de su proliferación en sitios web, no es comparable a Linux, aunque sean vecinos de galaxia. Lo ha dicho con elocuencia Jim Zemlin, director ejecutivo de la Linux Foundation: «vivimos en un nuevo mundo, cuyas redes son millones de desarrolladores, y yo sólo soy su lobista en jefe».