El investigador francés perdió finalmente la apelación y se encuentra
obligado a pagar 15.000 euros. Mediante una campaña de donaciones a
través de PayPal ya se ha recaudado la mitad de la multa y se espera
superar la cifra a corto plazo. El remanente será destinado a caridad.
Como nuestros lectores recordarán, Guillaume T. es un investigador
francés en biología molecular que desarrolla su trabajo en el
departamento de Genética de la Universidad de Harvard y en el Hospital
General de Massachusetts. El seudónimo de "Guillermito" que utiliza
responde simplemente a un guiño a sus raíces, ya que sus abuelos eran
españoles y migraron a Francia antes del comienzo de la Guerra Civil.
Como parte de sus aficiones, Guillaume, publicaba en su página web
personal algunos análisis sobre vulnerabilidades que detectaba en
diversas soluciones de seguridad.
Desde el 2003 Guillaume se ha visto envuelo en un juicio por una de
sus publicaciones. El origen de la acusación se encuentra en un
análisis que publicó en su sitio web personal en marzo de 2002, en el
cual documentaba varias vulnerabilidades en Viguard, software
antivirus de Tegam International que anunciaba como 100% seguro
contra virus conocidos y desconocidos. En el artículo publicado,
Guillaume analizaba algunos posibles ataques contra Viguard,
demostrando que no ofrecía la protección que anunciaba, con varios
ejemplos prácticos basados en virus conocidos y otras pruebas de
concepto diseñadas para la ocasión.
En un principio Tegam Internacional emprendió una agresiva campaña de
marketing, con anuncios en publicaciones donde literalmente llamaba
"terrorista informático" a "Guillermito". Acusación que cobraba una
especial relevancia si tenemos en cuenta que apenas habían
transcurridos unos meses desde el 11 de septiembre. Posteriormente
emprendería acciones judiciales contra Guillaume T. por presunta
"falsificación de programas informáticos y ocultación de estos
delitos", escudándose para ello en varios artículos del código de la
propiedad intelectual y el código penal.
Tras no pocas vicisitudes, el 7 de junio de 2005 la justicia francesa
condenó a Guillaume al pago de 14.300 euros. En realidad la cantidad
es mínima en comparación con la petición de la acusación, 900.000
euros, que consideraban era sólo el 10% de los daños reales que habían
sufrido. Guillaume ironizaba con el hecho de que supuestamente habría
hecho perder 9 millones de euros a una empresa cuyo volumen de
negocio en 2003 era de 1.4 millones de euros.
El pasado 21 de febrero, tras apelación, la justicia francesa mantenía
su fallo, por lo que Guillaume deberá hacer frente a la multa inicial
más los intereses.
Un abatido Guillaume T. comentaba "No se tiene derecho en Francia a
demostrar técnicamente que un programa informático presenta
vulnerabilidades de seguridad o que su publicidad es falsa. Duerman
tranquilos, ciudadanos, todos sus programas informáticos son
perfectos".
Sin embargo en los últimos días Guillaume T. ha pasado de la decepción
inicial a un estado de euforia y orgullo tras comprobar la solidaridad
de la comunidad. A los continuos mensajes de apoyo se han sumado las
donaciones para ayudarle a comprar "un antivirus nuevo" (en Francia
está prohibido solicitar dinero para pagar una multa).
Aquellos que quieran participar en la compra de su "nuevo antivirus"
pueden hacerlo a través de la página web personal de "Guillermito" en
http://www.guillermito2.net/index-tmp.htmlPor último, recordar la posición oficial de Hispasec en relación a
este caso particular, y sobre el papel de las investigaciones en
materia de seguridad informática en general, que ya publicamos en
nuestra primera nota al respecto en mayo de 2004:
* No existe solución antivirus 100% segura contra virus. Es fácilmente
demostrable en todos los productos, y Viguard no es una excepción.
* Si Tegam International anunció que su producto Viguard detectaba
el 100% de los virus conocidos y desconocidos, tal y como se puede
apreciar en la copia histórica de su web disponible en Internet,
la empresa desarrolladora emitió publicidad falsa.
* La investigación y publicación en materia de seguridad informática,
y en concreto la búsqueda activa de vulnerabilidades o el
desarrollo de ataques a modo de pruebas de concepto, son prácticas
necesarias y reconocidas por la industria, ya que favorecen la
corrección de debilidades y el desarrollo de soluciones más
robustas.
* La investigación sobre vulnerabilidades es una actividad ejercida,
entre otros, por organismos gubernamentales, universidades,
laboratorios, consultoras, grupos de seguridad, particulares, y
los propios desarrolladores de software de seguridad y antivirus.
* Los análisis independientes permiten a los usuarios obtener
información crítica y vital para su seguridad, no supeditada a los
intereses comerciales de los propios desarrolladores y
distribuidores.
Opina sobre esta noticia:http://www.hispasec.com/unaaldia/2686/comentarMás Información:20/05/2004 Juicio contra la seguridad informática y el "full disclosure"
http://www.hispasec.com/unaaldia/203416/09/2004 Tegam vs. Guillermito, segundo asalto
http://www.hispasec.com/unaaldia/215427/09/2004 Se aplaza el juicio Tegam vs. "Guillermito"
http://www.hispasec.com/unaaldia/216529/12/2004 El jucio Tegam vs. Guillermito se celebrará el 4 de enero de 2005
http://www.hispasec.com/unaaldia/225808/03/2005 Fallo del caso Tegam vs. "Guillermito"
http://www.hispasec.com/unaaldia/232730/07/2005 Tegam Vs Guillermo T., la saga judicial se clarifica
http://www.hispasec.com/unaaldia/2471
