Internet sostenido con palillos: La fragilidad de la infraestructura moderna más allá de las licencias

General
1

El software no es el problema: el verdadero riesgo está en los oligopolios y la centralización

Cada cierto tiempo aparece alguien diciendo que “la caída de X demuestra que el software privativo es inseguro y que el software libre lo solucionaría todo”. A mediados de noviembre, cuando Cloudflare tuvo una interrupción global que dejó medio internet cojeando, esa idea volvió a aparecer en nuestro foro.

El usuario isf, desde una postura alineada con la FSF (Free Software Foundation) y las ideas tradicionales del Software Libre, señaló que depender de software privativo implica ceder control y quedar a merced del proveedor. Filosóficamente tiene razón: el Software Libre otorga autonomía, audibilidad y posibilidad de modificar el sistema.

Pero aunque valoro ese punto, creo que el diagnóstico sobre por qué se cae internet está incompleto. La fragilidad actual no deriva de si el software es libre o privativo, sino de la concentración extrema de infraestructura en muy pocas empresas.

Este post busca dejar claro que el verdadero riesgo no lo crea la licencia del software, sino el oligopolio y la dependencia global de unos cuantos proveedores que actúan como puntos únicos de fallo.

1. La postura de isf y el “mito de la resiliencia automática”

El argumento de isf es conocido: si el software es libre, cualquiera puede replicarlo, independizarse del proveedor y tener un sistema más resiliente.

El problema es que esa lógica mezcla dos planos distintos:

1.1. Libertad del software ≠ Resiliencia de la infraestructura

Puedes tener un servidor 100% libre, con GNU/Linux y servicios auditables. Pero si usas el mismo CDN, DNS o proveedor de seguridad que todo el mundo, estás igual de expuesto que cualquiera.

1.2. El Software Libre también se centraliza

Un proyecto puede ser libre, pero si toda la industria depende de exacta misma librería, framework o servicio, estás creando el mismo problema que con el software cerrado:
un punto único de fallo.

Ahí está la clave:

El enemigo no es la licencia, sino la arquitectura hiperconcentrada.

Incluso cuando todo es Software Libre, si el ecosistema entero depende de una sola pieza, el riesgo es idéntico.

2. Tanto el Software Libre como el Código Abierto fallan… y fallan a lo grande

Para entenderlo, basta recordar algunos incidentes que no tuvieron nada que ver con que la licencia fuera privativa:

Heartbleed – OpenSSL (Software Libre)

En 2014, un simple error en el manejo de “heartbeats” dejó expuestos millones de servidores en internet. OpenSSL era tan ubicuo que el fallo afectó a bancos, gobiernos, VPNs, routers, clusters enteros.

Fuente:
CVE-2014-0160 — NVD, MITRE
https://nvd.nist.gov/vuln/detail/CVE-2014-0160

Log4Shell – Log4j (Código Abierto)

Quizá el peor fallo del siglo. En diciembre de 2021, una vulnerabilidad permitió ejecución remota en millones de aplicaciones escritas en Java.

Datos del impacto:

  • Más del 40% de las redes corporativas globales sufrieron intentos de explotación.
  • Se registraron 100 ataques por minuto en el pico inicial.
  • Se estimó que 93% de los entornos cloud estaban en riesgo.

Fuentes:
Check Point Research (2021)
Microsoft Security Response Center
NIST – CVE-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228

El problema no era que fuera libre: era que todo el mundo la usaba.

XZ Utils (Software Libre)

En 2024, un mantenedor cansado casi permitió que se insertara una puerta trasera a nivel de OpenSSH en todas las distros Linux. Fue un intento sofisticado de infiltración a la cadena de suministro.

Fuente:
RedHat Security Advisory (2024)
https://access.redhat.com/security/vulnerabilities/xz

SolarWinds – Orion (Privativo)

Caso emblemático para mostrar que el otro bando tampoco se salva. Una actualización comprometida permitió espionaje a agencias gubernamentales estadounidenses. El malware SUNBURST esperaba entre 12 y 14 días antes de activarse.

Fuente:
CISA Advisory AA20-352A
https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-352a

Conclusión de esta sección:
Las catástrofes no discriminan entre licencias. Lo que importa es la extensión de la dependencia, no la filosofía del código.

3. El verdadero problema: Un internet sostenido por un puñado de gigantes

Aquí está el corazón del asunto. La infraestructura digital está concentrada en muy pocas empresas:

Nube

  • AWS
  • Microsoft Azure
  • Google Cloud

CDN y seguridad

  • Cloudflare
  • Akamai
  • Fastly

Cloudflare maneja alrededor del 10% del tráfico HTTP del mundo. Cuando se cae, medio internet tiembla.
AWS representa entre el 30% y 35% del mercado cloud, dependiendo de la medición.

Cuando AWS tuvo problemas días antes del incidente de Cloudflare, ocurrió exactamente lo mismo:
cientos de webs fuera de servicio, apps congeladas, servicios críticos inoperativos.

El problema no era si el software de AWS era libre o privativo.
El problema era que dependemos de un oligopolio.

4. Diversificación real y uso estratégico del Software Libre

Aquí sí vale la pena subrayar algo importante:

El Software Libre ayuda contra el vendor lock-in, pero no soluciona por sí solo el infrastructure lock-in.

Algunas estrategias modernas para mitigar el riesgo incluyen:

Zero Trust Architecture

Nunca asumir confianza interna. Cada servicio verifica identidad y permisos.
Evita que un único punto comprometido destruya todo.

Fuente:
NIST SP 800-207 – Zero Trust Architecture
https://csrc.nist.gov/publications/detail/sp/800-207/final

Diversificación real de proveedores

No tener todo bajo un mismo CDN o una misma nube.
Esto no es trivial, pero sí esencial.

Caso de estudio útil: Gobierno de Grecia (MITOS)

Grecia adoptó soluciones de código abierto (no solo software libre) para evitar depender de un solo proveedor estadounidense en servicios críticos.
No es ideología; es estrategia de supervivencia digital.

Fuente:
Greek Government – National Registry “Mitos” Documentation
(EU Open Source Observatory)

5. Conclusión: El enemigo es la centralización, no la licencia

No se trata de atacar al Software Libre. De hecho, es valioso, necesario y deseable para construir un ecosistema más transparente y auditable.

Pero la realidad técnica es esta:

  • Si todos usan la misma librería libre y falla: caen todos.
  • Si todos usan el mismo servicio privativo y falla: caen todos.
  • Si unas pocas empresas manejan la mitad del tráfico mundial, la continuidad depende de ellas.

El problema no es el Software Libre.
El problema no es el Software Privativo.

El problema son los puntos únicos de fallo creados por los oligopolios tecnológicos.

Si queremos un internet seguro, estable y resiliente, el camino no es solo liberar código:
es descentralizar la infraestructura.

10 Me gusta
2

Es bien curioso ver como se vendía la idea de que usar la nube era la solución a todos los problemas de infraestructura que una entidad podría llegar a tener, tan solo para ver a los pocos años como todos se dan cuenta de una realidad que parecen haber olvidado, la nube, como todo, falla…

Como siempre, eso de dejarle el problema a alguien más y fingir que ya no existe no fue la mejor de las ideas :^

3 Me gusta
3

Sinceramente, ello último es algo que estuve leyendo varias veces en muchos lugares… Muchas cosas están centralizadas en pocas manos, principalmente corporativas. :\

Además de que la infraestructura… No es de lo mejor, como se discutio en La problemática del navegador web… =~=

3 Me gusta
4

Hace años que la tecnología informática ya no brinda soluciones, solo brinda comodidades.

3 Me gusta
5

Estoy completamente de acuerdo, pero quisiera agregar que el software libre facilita en grand medida el proceso de descentralizacion, osea, es posible tener descentralizacion con el software libre, como es posible no tenerla, pero con el software privativo es casi imposible tener descentralizacion y en general, el software privativo favorece la aparente de monopolios.

4 Me gusta