El jucio Tegam vs. Guillermito se celebrará el 4 de enero de 2005

En juego la criminalización del full-disclosure y, por ende, de la seguridad informática.

Como nuestros lectores recordarán, puesto que en Hispasec venimos realizando un seguimiento del caso, Tegam sigue un proceso judicial contra el científico francés Guillaume T., apodado “Guillermito”, por publicar un informe técnico con detalles y pruebas de concepto que demostraba que el software antivirus Viguard no detectaba el 100 por ciento de los virus, tal y como anunciaba la empresa desarrolladora.

Transcurridos más de dos años desde la denuncia, el juicio debería haberse celebrado el pasado 5 de octubre. En una jugada de última hora, Tegam solicitó un aplazamiento del juicio para preparar con más tiempo el mismo, al que Guillaume T. y sus abogados accedieron.

Entre las hipótesis que se barajaron para este aplazamiento destacaba la expectación que había alcanzado el juicio, que se celebraría de forma pública, y al que ya habían anunciado su asistencia periodistas y personas interesadas del mundillo de la seguridad informática.

Finalmente el juicio, al que estamos todos invitados, se celebrará el próximo 4 de enero en París. Más indicaciones para llegar a la sala del juicio en la siguiente dirección http://www.u-blog.net/eolas/note/115

En una de sus recientes notas, Guillaume T. comentaba, no sin cierta ironía, como había recibido en los últimos días varias consultas sobre sus investigaciones y vulnerabilidades que había descubierto en diverso software de esteganografía, que publicó de forma similar al caso del antivirus Viguard de Tegam.

Lo curioso, decía Guillaume, es que las consultas provenían de algunas de las empresas financiadas con medio millón de dólares por el Ministerio de Justicia de EE.UU., donde van a crear un Centro de Análisis e Investigación en Esteganografía con la excusa del terrorismo. Aunque poco tiene que ver, como bien afirma Guillaume “no hay nada como el miedo para abrir la cartera de consumidores y ministerios”.

El caso es que mientras que en EE.UU. las investigaciones de Guillaume T. son apreciadas para proyectos gubernamentales, teóricamente para luchar contra el terrorismo, en Francia han servido para llevarlo a un juicio donde Tegam ha llegado a tachar a Guillaume de terrorista.

Recordemos que en un principio Tegam Internacional emprendió una agresiva campaña de marketing, con anuncios en publicaciones donde literalmente llamaba “terrorista informático” a “Guillermito”. Acusación que cobra una especial relevancia si tenemos en cuenta que apenas habían transcurridos unos meses desde el 11 de septiembre. Posteriormente emprendería acciones judiciales contra Guillaume T. por presunta “falsificación de programas informáticos y ocultación de estos delitos”, escudándose para ello en varios artículos del código de la propiedad intelectual y el código penal.

El juez de instrucción designó a un experto informático para analizar los argumentos y pruebas técnicas del caso, que ha concluido en su informe:

– que Guillaume T. desensambló, utilizó y publicó elementos y detalles del programa informático Viguard, que excedían las modificaciones que un simple usuario puede realizar con fines de compatibilidad para una utilización personal, permitiendo burlar las protecciones que anunciaba el producto.

– que Guillaume T. dispone de competencias incuestionables en materia de virus y antivirus, y que las vulnerabilidades en Viguard denunciadas en el informe de Guillaume son pertinentes.

Basándose en el informe del experto informático, el juez de instrucción desestimó la mitad de los cargos contra Guillaume, en concreto los relacionados con la “ocultación de delitos”. Si bien se debía celebrar un juicio atendiendo a los cargos de “falsificación”, que el juez estimaba pertinentes al poder atentar contra los derechos de propiedad intelectual de Tegam Internacional por publicar detalles del código de Viguard sin su autorización.

En definitiva, Guillaume T. tenía razón cuando denunció las vulnerabilidades en el producto de Viguard, demostrando que la publicidad emitida por Tegam Internacional era falsa. Sin embargo, el método empleado por Guillaume, que básicamente consistió en publicar un informe técnico y ejemplos reales a modo de pruebas de concepto, son motivo para, al menos, llevarlo a juicio.

Sin duda nos encontramos ante un juicio cuyo fallo puede marcar un antes y un después en la investigación y publicación de vulnerabilidades. Si Guillaume T. es condenado, se creará un precedente en Francia que criminaliza el full disclosure (divulgación total en materia de seguridad informática).

Nos encontraríamos en un callejón sin salida, que afectaría de lleno a la propia seguridad informática. Si denuncias una vulnerabilidad sin pruebas puedes ser llevado a juicio por difamación, si por el contrario realizas un análisis técnico y publicas pruebas de concepto te podrían acusar de falsificación.

Los derechos de unos terminan donde comienzan los de los demás, y en este caso Tegam Internacional no debe poder escudarse en la propiedad intelectual para tapar una publicidad falsa y esconder fallos en su software. En juego no anda sólo la posible condena a Guillaume, sino la seguridad de los usuarios, que no debe quedar supeditada a los intereses comerciales de los propios desarrolladores y distribuidores. ¿Qué garantías y defensa tendrían los usuarios sin la existencia de investigaciones independientes?