http://www.pedro.jmrezende.com.br/sd.htm > español: windows WGA

Windows WGA
Microsoft en linea contigo

Por Pedro Antonio Dourado de Rezende. 
Fecha 11/07/2006 

Este artículo es obra derivada, por traducción y adaptación, del artículo 
"Microsoft's Calling Home Problem: It's a matter of Informed Consent"
de Pamela Jones, editora del portal Groklaw,
publicado el 11 de junio de 2006
bajo una licencia (CC) NC-ND 2.0 en Groklaw

Traducido al castellano por el equipo de tradución de la
Fundación Software Livre America Latina

Muchos ya deben haber oído hablar de WGA. Y aún si no oyeron, pueden haberse sentido incomodados por él si están usando el sistema operativo Windows XP. Sobre este asunto, el portal Slashdot publicó recientemente un artículo titulado "Microsoft talks daily witho your computer", y la revista electrónica eWEEK, un artículo de Steven J. Vaughan-Nichols bajo el sombrío título de "Big Microsoft Brother".

Esos artículos argumentan que el WGA, sigla de la herramienta de Windows Genuine Adgantage, software que pretende combatir la piratería digital de ese sistema, se conecta con Microsoft para transmitir un informe cada vez que el sistema se inicia. Este contacto automático, silencioso y cotidiano, fue primicia en el blog de Lauren Weinstein.

Después de eso, Microsoft divulgó una declaración al respecto, en la cual afirma que el WGA no es spyware (programas espías). Afirma, todavía, que los programas que componen el WGA incluso sufrirán algunas modificaciones, y que la principal distinción entre estos y los programas espías es que Microsoft obtiene permiso del usuario antes de instalarlo.

El investigador David Berlind investigó y descubrió que WGA está, de hecho, compuesto por dos partes y que una de ellas (la herramienta de notificación) (Notification tool) es nueva, como se puede percibir con ayuda de una serie de pantallas que él capturó durante su investigación. Berlind comienza explicando cómo funcionan los programas que componen el WGA, para mostrar que microsoft sólo pide permiso para instalar uno de los componentes, justamente el menos intruso. Pamela Jones, editora del portal Groklaw.net piensa que la cuestión del permiso es aún más turbia.

Munida del trabajo de Berlind, y examinando la licencia de uso que aparece en la instalación de WGA, Jones encuentra un problema legal (en el contexto jurídico norteamericano), relativo a los permisos. Ve también problemas en la declaración que Microsoft divulgó sobre WGA y sobre la información recopilada de las computadoras de los usuarios. E incluso, hay algo en la licencia que requiere explicaciones, ya que no coincide con dichas explicaciones oficiales. Como Brasil tiene un código de defensa del consumidor, tales ponderaciones merecen la atención de los incluidos digitalmente. El artículo de Vaughan - Nichols en eWEEK hace una lista de items que Microsoft dice estar recopilando con el WGA:

Según Microsoft, cuando el WGA se usa por primera vez, se configura para recopilar la clave de la copia de Windows XP, la versión del sistema, los datos del fabricante de la PC, sobre el BIOS y sobre la configuración de idioma. Nada, según Microsoft, que pueda identificar al usuario o a los programas que usa o cualquier cosa por el estilo.

Entre tanto, como se puede verificar en el propio site de la empresa, Microsoft recoje más que eso. En el momento en que la versión original de este artículo comenzaba a ser escrita (12 de junio de 2006), sobre WGA y el tipo de información recopilada, la empresa decía, en la página web que estaba en el link apuntado más arriba, lo siguiente:


Información recolectada durante la validación

P: ¿Qué información recopilan de mi computadora?

R: El proceso de validación genuina recogerá información sobre su sistema para determinar si su programa de Microsoft es original. Ese proceso no recoge ni envía información que pueda ser usada para identificarlo o contactarlo. La única información recogida en el proceso de validación es:

P: ¿Cuál es el uso que Microsoft hace de esa información?

R: Esa información sirve a tres propósitos:

De los propósitos que podrían justificar la recopilación de datos tales como el número de serie del HD o la dirección IP, que son individuales, podemos descontar los tres citados. Microsoft no necesita esos datos para proveer el flujo de páginas web, tampoco para los datos demográficos de uso, ni para confirmar los datos provistos por el usuario. A menos que esté también husmeando en el contenido instalado en cada computadora, cosa que la empresa afirma que no está haciendo. Está claro que, una vez dentro de la computadora, no hay nada que pueda detenerla si estuviera dispuesta a hacerlo.


Se encendió, se conectó

Entonces, ¿por qué razón Microsoft recopila esas informaciones y qué está haciendo con ellas? Dentro de las posibilidades, ciertamente hay más de lo que alegan. Como ya dije, ellos no necesitan el número de serie de tu HD, el nombre de la compañía que fabricó su computadora, el lenguaje que usted usa, la configuración de su BIOS o desde dónde está usted localizad para hacer cualquiera de las tres cosas que dicen que están haciendo con sus datos. Obviamente ellos están intentando verificar si usted es un pirata, y deberían admitir eso.

Y aún cuando lo admitan, ¿será necesario tener el número de serie de su HD para saber si usted es o no un pirata de software? Si usted quisiera cambiar de HD, ¿qué tendría que ver Microsoft con eso? Tendrían que ser ellos, por si acaso, los que le provean el hardware? De ninguna forma la recolección de esos datos está mencionada en la licencia asociada a WGA, por lo que no hay forma de sostener que el licenciante ha dado su permiso al aceptar la licencia, para que Microsoft recolecte ese tipo de información individual de su computadora. Pero la situación es todavía más grave.

En el relato de su descubrimiento, Lauren Weinstein escribió en su blog, el 5 de junio: 

"parece que también en esos sistemas (los genuinos), la herramienta WGA tratará de contactar a Microsoft a través de internet cada vez que el computador se conecta.... Estos intentos de conexión ocurren aún cuando usted tenga desinstalada la "actualización automática" de Windows.

No sé cuales de los datos se están enviando a MS o cuales se están recibiendo durante esas conexiones. No puedo encontrar, en las declaraciones de la empresa, ninguna información que indique que la herramienta WGA notificará a MS cada vez que yo encienda un sistema validado como genuino. No logro ver cual es la necesidad de que Microsoft tenga conocimiento de esos datos después de que el origen de un sistema se haya considerado genuino y, seguramente, habrán organizaciones preocupadas con su seguridad, en las que tendrá impactó la divulgación de las informaciones sobre el proceso de inicio de sus sistema.

Les dejo a los especialistas en spyware la tarea de determinar formalmente si ese tipo de comportamiento califica o no esta herramienta como dispositivo de espionaje.(spyware)"

Ninguna Información

Después de que Weinstein escribió en su blog sobre su descubrimiento, fue contactado por Microsoft y tuvo la opotunidad de hacer algunas preguntas directamente. Al día siguiente (6 de junio) escribió en su blog al respecto:

"Porqué la nueva versión de la herramienta de validación WGA trata de comunicarse con Microsoft cada vez que la computadora se enciende? Los empleados de la empresa me dicen que, en este momento, las conexiones se realizan para proveer un mecanismo de escape que le permita a MS desactivar la herramienta de validación si está funcionando mal...

Me dijeron que, en la modalidad actual de WGA, ninguna información se envía de la PC durante esas conexiones, aunque Microsoft esté recibiendo la dirección de IP y datos sobre la fecha y hora de inicio del sistema y de operaciones continuadas, datos que no estaría o no debería estar recibiendo sin WGA.

Aparentemente, estas transacciones ocurren una vez por día, cuando el sistema se mantiene encendido, aunque Microsoft afirma que pretende desfasar la frecuencia de esas conexiones (creo que una vez cada dos semanas), cuando WGA sea actualizado, en un futuro próximo. Incluso, esas conexiones se usarán para cruzar información del sistema contra una lista de revocación de licencias (por ejemplo, cada 90 días), aunque el usuario nunca haya ingresado directamente al Windows Update."

Entonces, después del descubrimiento, MS confirma que obtiene la dirección de IP, datos sobre la fecha y hora de inicio del sistema e de las operaciones continuadas, pero sigue afirmando que "nada que pueda identificar al usuario, o a los programas que él usa o cosas por el estilo" se están obteniendo. E incluso, que "ninguna información es enviada". En cualquier sentido en que el envío, disimuladamente, de este tipo de información no caracterice espionaje, ciertamente ignora la práctica de esa actividad.

Me acuerdo de lo que declaró un funcionario del departamenteo de Homeland Security cuando el rootkit espía de Sony-BMG, que se hacía pasar por herramienta de protección contra copias no autorizadas de CDs de música, fue revelado: "Si, la propiedad intelectual es de ellos, pero la computadora no lo es"(video). Como já fue dicho, no hay nada en la licencia de WGA que se pueda hacer passar honestamente por permiso del usuario para la obtención y el envío de este tipo de información individual. Y qué dice, y no dice, Microsoft?


Descripción aclaratoria

De acuerdo con el artículo de Berlind, entre los argumentos ofrecidos para justificar la afirmación de que WGA no es spyware, la empresa afirma:

"En términos generales, spyware es software engañoso que se instala en la computadora del usuario sin su permiso y que tiene propósito malicioso [malicious purpose]. WGA se instala con el permiso del usuario y tiene como propósito sólo notificar al usuario en el caso de que su sistema no esté operando con una licencia válida. WGA no es spyware."

Como ya vimos, Microsoft no le aclara, a quien instala WGa, que, según tuvo que admitir, este software se conecta diariamente con la empresa. Lo más cercano a una aclaración, por lo menos inicialmente, es una página de preguntas frecuantes (FAQ) en su sitio. Sobre las facilidades del proceso de validación de las licencias:

P: El proceso de validación "Windows genuino" es en una sola etapa?

R: Diseñamos la validación para que sea lo más fácil posible. La validación propiamente dicha dura sólo un momento. La parte más larga del proceso consiste en bajar el control ActiveX que ejecuta la validación. Ese control ActiveX es bajado para su computadora con la primera validación o cuando Microsoft disponibiliza una nueva versión de control. Así, aunque no sea un proceso de una sola etapa, es rápido e fácil.

P:Qué información es obtenida en la registración? Microsoft está obteniendo Información Personalmente Identificable?

R: Además de la información estandar de los logs de servidores, ninguna información es obtenida [en la registración diaria]. A diferencia de la validación, que envía información del sistema para Microsoft, esta operación se limita al envío del archivo de configuración actual. Ninguna información adicional se envía a Microsoft.

P: Por qué no les avisaron a los clientes que sus computadoras iban a ser periodicamente?? registrados/accesidos/ingresados?? por Microsoft?

R: Microsoft se esfuerza en mantener los más altos estándares en su conducta comercial y en atender las expectativas de sus clientes. Concentramos nuestra divulgación en la etapa crítica de validación a través de WGA. Haber dejado de informar específicamente sobre la registración periódica fue un descuido. Creemos que ser transparentes y francos con nuestros clientes es muy importante, y actualizamos nuestra página de preguntas frecuantes (FAQ) acorde a eso. Nos hemos desbordado documentando cada instancia en la que un producto Microsoft se conecta a un servidor de la empresa y continuaremos haciéndolo. Por ejemplo, en lo relativo a Windows XP SP2, publicamos un artículo sobre el tema.

Pasado el escalofrío que los especialistas en seguridad en informática (como el que suscribe) pueden sentir imaginando un control ActiveX andando permanentemente en los Windows XP conectados con el mundo, corresponde preguntar si esta sección "preguntas frecuentes" sería una descipción aclaratoria de cuándo ese control valida la licencia del sistema. Sería por lo menos un indicador? O sobre la frecuencia con que Microsoft disponibiliza una nueva "versión de la herramienta". Diariamente? Semanalmente? Mensualmente?


Un tumor

Microsoft parece querer afirmar que sólo la herramienta de validación obtiene información sobre la computadora del usuario y que la nueva herramienta, la de Notificación, no obtiene infirmación, sólo verifica si el usuario necesita que le avisen en el caso de que no esté corriendo una versión genuina de Windows. Pero eso equivale a decir que la validez de su instalación está siendo verificada, en este caso, todos los días. Por ello, esta sesión de "preguntas frecuentes", donde se afirma que la verificación sólo ocurre cuando una nueva versión de la herramienta de vaidación es instalada, no corresponde a los detalles descubiertos y admitidos por la empresa.

Recapitulando: el investigador David Berlind descubrió que WGA está, de hecho, compuesto por dos herramientas, de las cuales la de Validación nunca pide permiso para instalarse, que la herramienta de Notificación pide, pero sin avisar que se va a comunicar con Microsoft todos los días, o cuándo, o qué va a enviar, o si y cuándo el usuario será notificado del envío. Después, Microsoft habría confirmado a Lauren Weinstein que está recibiendo datos individuales, como la dirección de IP, y datos relativos al inicio del sistema e su operación continuada, información que no necesariamente estaría recibiendo sin WGA.

El concepto de consentimiento contractual (informed consent) sobreentiende que aquel que permite sabe lo que está permitiendo. La parte que solicita autorización en un contrato tiene, por lo tanto, la obligación de aclarar lo necesario para que la otra parte pueda tomar una decisión clara. Un hospital, por ejemplo, no puede entender que tiene su autorización para administrarle una droga nueva o poco probadas sin antes avisarle que se trata de una droga que todavía no fue suficientemente probada, cuales son los riesgos y las opciones que implica. Un médico no puede, mientras el paciente está anestesiado para la cirugía de apéndice, extraer la vesícula sólo porque se da cuenta que allí hay un tumor."Tentativa de salvar" no sería justificativa, pues podría, si le preguntaran, optar por tratamiento no cirúrgico o por no tratarse. El cuerpo es de él y tiene derecho a negarse a una opinión médica.


Experiencia mejorada

En cuanto a la afirmación de que WGA no es spyware porque no tiene propósitos maliciosos, primero, no se debe pensar que un software necesita tener propósito malicioso para espiar. Esa definición es la de Microsoft, otras empresas pueden no estar de acuerdo con ella. Principalmente aquella que producen software para ese fin, porque quien quiere espiar puede considerar que sus propósitos son nobles. Segundo, aún concordando con tal definición, sería en este caso, apenas la palabra de Microsoft sobre la ingenuidad, sobre el sentido de no tener malicia, de sus propósitos.

Lo cierto es que no sabemos, y no tenemos forma de saber, lo que Microsoft hace, o hará con las informaciones que recoje con WGA. De otra forma, quien no quiera ser ingenuo puede entender: la malicia o no de un propósito depende del lado en que se está. La industria de bienes simbólicos está furiosa contra los males que la piratería digital les causa, y aprueban las leyes que bien o mal quieren, de suerte que ahora sus ejecutivos creen, y quieren que nosotros creamos, que toda o cualquier medida para reducir o prevenir la piratería digital es aceptable. No lo es. Mi computadora es mia, no es de Microsoft, del mismo modo que mi cuerpo no es del médico, por más que yo lo idolatre.

Aunque no podamos saber lo que Microsoft hará con las informaciones que está recolectando, podemos analizar sus declaraciones al respecto. Ellos afirman, incluso en la licencia, que sus propósitos con WGA se resumen a avisar al usuario si su instalación de Windows XP no estuviera debidamente licenciada. Pero en qué sentido un usuario se preocuparía si su copia está o no debidamente licenciada? En qué sentido la respuesta afirmativa les daría una experiencia de uso "mejorada" del sistema? Esa experiencia sólo podría ser mejorada, podemos suponer, en el sentido relativo a las alternativas, si Microsoft bloquea las actualizaciones de los sistemas de usuarios que no acuerdan instalar WGA.


Avisado confusamente

Cuando se examinan las imágenes capturadas por David Berlind, se puede advertir algo que parece poco, digamos, no malicioso. Cuando el WGA se instala, el mensaje que muestra describe lo qué está instalando como actualizaciones (updates), y no como software nuevo. Lo que lleva al usuario a creer que ya tiene eso instalado, y que es una actualización para mejorarlo. El componente de notificación que es nuevo, está rotulado como "actualización de alta prioridad" (High priority updates), lo que lleva al usuario a creer que necesita eso para sentirse protegido. Estoy hablando del sentir del usuario, no de Microsoft. Sobre la función de ese componente, esto es lo que ellos dicen:

"La herramienta de notificación WGA notifica si su copia de windows no es genuina. Si su sistema fue encontrado como no-genuino, la herramienta lo ayudará a obtener una copia licenciada de Windows. [The Windows Genuine Advantage Notification Tool notifies you if your copy of Windows is not genuine. If your system is found to be non-genuine, the tool will help you obtain a licensed copy of Windows.]

La pantalla que interrumpe las actualizaciones de un sistema que no tenga WGA, capturada por David Berlind, no menciona WGA por su nombre ni sus componentes. Lo que allí parece extraño, quizás no malicioso, es apenas un, casi imperceptible, minúsculo link de acceso a "detalles". Si el usuario acuerda en continuar, como parece razonable por la vaga descripción de lo que le falta para actualizar el sistema, sólo entonces aparece la primera mención a un componente de WGA, la herramienta de validación. Pero en ese punto, la herramienta ya está siendo bajada para ser automáticamente instalada. Si tal procedimiento pretende hacerse pasar por consentimiento, honestamente no se lo puede considerar un permiso contractual con conocimiento de causa.

Prosiguiendo, una observación más detallada de los mensajes de instalación revela que sólo después de que la herramienta de validación ha sido actualizada con éxito, aparece, si clickeas en "continuar", un mensaje rotulado de "actualizaciones de alta prioridad", con una mención a otro componente, la herramienta de Notificación. Por los términos de licencia (EULA) que surge allí, se percibe entonces que no se puede desinstalar la herramienta, ni se puede probar en un ambiente de operación " a menos que Microsoft lo permita sobre otra licencia". El usuario está vagamente avisado de que está permitiendo una nueva instalación al clickear en "acepto", pero la opción aparece sólo después que la primera herramienta, la de Validación, ya está instalada. Esto levanta la cuestión: ¿Qué pasa con las computadoras de quienes no aceptan? David Berlind aceptó, por lo que no puede responder esta pregunta, pero nos puede mostrar el dispositivo de la licencia abajo, en referencia al permiso:

"Consentimiento para Servicios basados en Internet. Los recursos de software descriptos abajo conectan a Microsoft o a sistemas computacionales de proveedores de servicio a través de internet. En algunos casos, usted no recibirá avisos particulares cuando ocurra la conexión. Usted puede desconectar este recurso o no usarlo." [Consent for Internet-Based Services. The software feature described below connects to Microsoft or service provider computer systems over the Internet. In some cases, you will not receive a separate notice when they connect. You may switch off this feature or not use it.]


El poder del monopolio

En este punto, quien acostumbra leer los contratos puede, y debe, estar sorprendido. De mi parte, no tengo la menor idea sobre cómo o qué licencia estoy aceptando. Específicamente, sobre qué significa "este recurso" [This feature], la última frase del dispositivo de licencia citado más arriba. La frase está diciendo que el usuario puede desconectar las conexiones? o que puede desconectar el recurso de aviso en algunos casos? o el no aviso de los "otros casos"? Como no se tiene noticia de personas siendo notificadas de que su computadora se está conectando a Microsoft para enviar datos, de qué servicios está hablando? Tal vez el resto de la licencia nos pueda aclarar, lo que sería útil si lo hiciera sin levantar más dudas.


Sobre la frecuencia de las conexiones, por ejemplo. Será que la licencia del usuario presica ser corroborada todos los santos días? o qué es lo que Microsoft sospecha que puede pasar en 24 horas, entre un chequeo de validez y el siguiente? Por qué precisan chequear con tanta frecuencia? Obviamente que no lo necesitan, si ya avisaron, luego de que fuera divulgado el descubrimiento de este discado silencioso y diario, que pretenden desfazarlo en la próxima versión (para que sea quincenal o mensual). Lo contrario de estos esclarecimientos, lo que completa la cláusula de "consentimiento", es u nlink a una página web con "más detalles". Más, de qué vale un link, si Microsoft es conocida por publicar en su sitio documentos vagos, ambiguos, no informativos, apócrifos y lo que es más grave en este caso, efímeros.


Extrañamente, ellos explican ahora qeu podrán desfazar el contacto después que la prueba de la herramienta esté concluida. Esta explicación ya levanta de por si, una cuestión de posible abuso de la buena fe del consumidor, o del poder del monopolio del proveedor: Microsoft induciendo a los clientes de su sistema, bajo el pretexto de las actualizaciones de "alta prioridad", a instalar un software "Beta PreRelease", esto es, testeado en forma insuficiente, que torna el sistema un cobayo de algo que va a ser, sin ninguna explicación previa, funcionalmente indistinguible de un programa espía. Y ahora, con la instalación corriendo, en el caso de los clientes que pagan por el servicio de actualizaciones automáticas, "sin ninguna acción del usuario", conforme alega un grupo de empresas y usuarios en Washington, EUA, en una acción civil pública realizada contra Microsoft y su licencia, tal como informa el diario Seattle Times.


Buey de piraña *

De acuerdo con la revista Information Week: 

Según su portavoz, la empresa planea modificar la configuración de la herramienta en su próxima versión, para que se conecte con Microsoft cada dos semanas. Este recurso ( de discado automático ) sería desabilitado permanentemente cuando la herramienta estuviera disponible en todo el mundo, a final de año. (A fin de junio, Microsoft anunció que ya actualizó la configuración de la herramienta, desfasando los discados automáticos de diarias a mensuales.

Esa promesa es aún más procupante. ¿Por qué ese recurso de discado automático periódico es necesario ahora y ya no más cuando el WGA estuviera disponible en todo el mundo? Habrá algo entonces algo más efectivo para sustituir ese recurso? Como InformationWeek publica una promesa condicional (would be disabled later - sería desinstalada luego), tal vez nos vengan a decir que la fase de pruebas pasó y que no hay más razón para desconectar el recurso.

O Entonces, se hará que ese recurso cumpla el papel de "buey de piraña"*. Pues es la herramienta de validación, - no de notificación - la que envía informaciones más detalladas, individuales y periódicas, y parece improbable que Microsoft pretenda dejar de validar sus licencias. Por el contrario. Las declaraciones de Microsoft sobre los discados automáticos parecen engañosas, si no traicioneras, porque sólo mencionan el envío de informaciones a través de la herramienta de notificación, aquella que admiten que se conecta periodicamente, mientras silencian todo sobre la herramienta de validación, aquella que está siendo instalada antes de que los usuarios tengan la oportunidad de elegir si la aceptan o no, el paquete. Esto, cuando las declaraciones no son ambiguas, en relación a que se hable de una, de la otra o del paquete.


Imposible desinstalar

Esto nos lleva a examinar la licencia con más atención. Pero antes, así como algunos lectores, podemos estar a esta altura del campeonato, tal vez más interesados en saber si es posible, y cómo, librarse "del paquete", veamos lo que publicó al respecto el periodista Rob Pegoraro, del Washington Post:

"La herramienta de notificación también busca nuevas instrucciones en los servidores de Microsoft todos los días. La empresa dice que esas conexiones diarias (que planea convertir en quincenales) le permiten ajustar el comportamiento del programa si surgieran problemas. Lo que levanta un punto alarmante: una herramienta de software inmadura (pre-release), en prueba sin el consentimiento del usuario.

Peor aún, la herramienta - a diferencia de otras actualizaciones de Microsoft - no se puede desinstalar (puede, mientras tanto, apagarla restaurando su computadora a la condición en que se encontraba antes de la instalación de la herramienta de notificación - en el menú "inicio", selecciones, "todos los programas", "accesorios", "herramientas del sistema", "restaurar sistema").

Microsoft pasó los límites. La herramienta de notificación no es una actualización crítica que deba ser instalada automáticamente, mucho menos sin posibilidades de desinstalación. En caso de que los usuarios respondan a ese comportamiento intrusivo deshabilitando el recurso de actualización automática, privando así a sus computadoras de los remedios (parches) que precisan, el estado precario de la seguridad de los usuarios de Windows se pone aún peor."

La verdad, ya empeoró. Porque aún cuando el usuario desconecte la actualización automática, la herramienta de notificación continuará funcionando, probada insuficientemente y conectada en forma periódica. 

Surgen preguntas

En cuando a la licencia, empecemos por recordar lo que ya demostró David Berling: al usuariio sólo se le pide permiso durante a instalación de la segunda herramienta (de notificación), después que la primera (de validación) ya fue instalada, siendo esta primera, la que envía, según la declaración de la propia Microsoft, informaciones individuales del usuario (número de serie del HD y dirección IP). Hay allí una falta de permiso en el proceso, pues el usuario nunca ha consenitido el envío de esas u otras informaciones individuales, y lo que fuera que el haya consentido, sólo será hecho desupués que ese mecanismo automático de envío ya ha sido instalado.

Sin embargo, la situación se complica todavía más cuando se toma en cuenta el hecho de que la licencia, que viene siendo ofrecida desde el 24 de abril de 2006 con la segunda herramienta (de notificación), que es nueva, describe las acciones de la primera herramienta (la de validación), que supuestamente ya existía y que estaría siendo actualizada. tomando en cuenta lo que la propia Microsoft nos está diciendo, surgen preguntas: ¿Cómo era la licencia de la primera herramienta (de validación) antes de abril? ¿Si el usuario rechaza los términos de la licencia actual, y no instala el segundo componente (la notificación), hay chance de rechazar? En caso negativo, ¿por qué no puede desinstalar, en vista de que no concuerda? y en caso afirmativo, ¿con qué términos contractuales se estaría acordando?


Confusa y oscura

Sobre cómo está compuesta la WGA, esto es lo que declara Microsoft: 

"el programa WGA consiste en dos componentes prinvipales, la WGA Validación y la WGA Notificaciones. Validación determina si la copia de Windows XP instalada en su computadora está licenciada en forma genuina. WGA notificaciones recuerda a los usuarios que hayan fallado en la validación que no están corriendo Windows Genuinos y los direcciona para que aprendan más sobre los beneficios de usar Windows Genuino."

Aunque la licencia pida el consentimiento del usuario, apenas en el contexto de la instalación del segundo componente (la herramienta de notificación), parece que su lenguaje pretende cubrir ambos componentes. Si la licencia pretende definir como su objeto contractual a los dos componentes, ella estaría, como ya vimos, pidiendo el consentimiento del usuario en relación a la versión actual de la primera (la de validación) después que esta ya ha sido instalada, y sin la opción de desinstalarla. Vale preguntar, por qué la licencia es vaga y oscura en la definición de su objeto contractual. ¿Será a propósito? Cuando se buscan explicaciones sobre los discados automáticos silenciosos, esto es lo que Microsoft dice en su sitio, limitándose a la operación de la segunda componente:

"Recientemente, discusiones públicas sobre las notificaciones de WGA han levantado cuestionamientos sobre su operatoria. Luego después del logon, las WGA Notificaciones verifica si un está disponible algún archivo de actualización más nuevo y si lo está, lo envía. El archivo de configuración provée a Microsoft la habilidad de actualizar la frecuencia con la que se mostrarán las actualizaciones o de deshabilitar el programa durante un período de pruebas, si fuera necesario. Esa funcionalidad permite a Microsoft responder rápidamente el feedback para mejorar la experiencia del consumidor. A diferencia de la Validación, que envía a Microsoft informaciones sobre el sistema, esta operación (la herramienta de notificación) se lilmita a enviar el nuevo archivo de configuración. Ninguna información adicional será enviada a Microsoft. Han habido cuestionamientos sobre este tema, y Microsoft está trabajando para comunicar más efectivamente los detalles de estos recursos al público.

Un engaño

Decir simplemente la verdad resolvería todo. Parece dificil que los consumidores puedan interesarse por ese software, y Microsoft sabe eso, por lo que parece, sabiendo eso, que intentó dorar la píldora de modo de llevarlos a acordar la instalación del paquete. pero fue atrapada en los detalles, digamos, no maliciosos, de la misma forma qeu fue atrapada la Sony-BMG a comienzos del 2006 con su rootkit espía que se hacía pasar por herramienta de protección contra la copia no autorizada de CDs de música. Vale recordar, en aquel caso, que Microsoft demoró mucho tiempo en decir cualquiercosa ligeramente favorable a la protección y a la protección contra riesgos subsiguientes para sus clientes. Ahora, tal vez, estemos delante de la razón de aquella reticencia.

Después de las declaraciones de Microsoft, David Berlind destaba los puntos oscuros que persisten. Entre ellos, sobre la licencia: no se trata sólo de una cuestión de cuándo se solicit el consentimiento. Se trata, principalmente de aquello para lo que se solicita el consentimiento, para hacer lo que es, un engaño, el objeto contractual de la licencia. La licencia, dice sobre su objeto contractual:

"Este programa es un pre-lanzamiento de la versión de software destinado a actualizar las medidas tecnologicas de Windows XP prottegidas para prevenir el uso de Windows XP no licenciado.

Al usar este software, usted estará aceptando estos términos. En caso de que no acepte estos términos, no use el software. Como se describe más abajo, algunos de sus recursos también funcionan como consentimiento de su parte para la transmisión de ciertas datos estándares del computador para servicios basados en internet."


Las dudas se acumulan

Hasta aquí, el problema de la licencia se resume a que ekl usuario sólo es avisado del matorral al que está entrando cuando está a mitad de camino, con el primer componente ya instalado, cuando se le avisa que está instalando programas probados en forma insuficiente y que usan silenciosamente la internet para enviar datos hacia afuera. Al momento en que se avisa que ciertas informaciones serán enviadas desde su computadora a Microsoft, y que el uso de ciertos recursos de ese software son interpretados como consentimiento para eso, en lo que resta de la licencia, nada informa qué "ciertas informaciones" son esas, cuáles "ciertos recursos" son esos y cómo se puede "no usarlos".

Aunque la licencia describe tal envio en el contexto de "servicios", lo que implica para un usuario legítimo obtener algo valioso de todo esto. Pero lo que él está obteniendo, en verdad, más allá de lo que tenía por el derecho de haber pagado, son apenas algunas interrupciones inoportunas a costa de las necesidades del proveedor del sistema que está usando de mantener su negocio rentable. Un modelo que ya tiene 30 años.

La no-maldad es sutil y las dudas se acumulan. De acuedo con Microsoft, la herramienta de notificación (la segunda instalada) no envía ninguna información que permita identificar personalmente al usuario, por lo que esto nos conduce a concluir que, al menos en el dispositivo mencionado arriba, la licencia debe referirse a la herramienta de validación (la primera instalada antes de mostrar la licencia). A menos que la verdad sobre lo que hace una u otra esté siendo omitida, o deliveradamente confundida, en las declaraciones oficiales de la empresa.

Derecho de consentir

Continúa diciendo la licencia: Cuando usted instala el software en su plataforma, este revisará para certificar que usted tiene una copia válidamente licenciada de Microsoft Windows XP (Windows XP) instalada. Si usted tiene una copia genuina de Windows XP, usted recibe beneficios especiales, que están enumerados en el siguiente link http://go.microsoft.com/fwlink/?linkid=39157.


la primera parte de este dispositivo parece referirse a la herramienta de Validación (la primera instalada), ya que habla del chequeo para certificar que el usuario tiene una copia válida de Windows XP. A menos que otro componente (instalado luego del acuerdo con la licencia) también haga el chequeo. Pero la parte final, que avisa sobre la imposibilidad de desinstalación, ¿de qué componente habla? ¿de ambos? en caso afirmativo (hasta donde se sabe sería el caso), entonces el usuario tendrá instalado un programa que lo espia y que no puede ser desinstalado, que no ha sido suficientemente testeado, implementado con una tecnología (ActivX) que a sabiendas vulnera ese sistema y que le da la oportunidad de decidir si o no a la instalación, cuando esta se insinúa entre "actualizaciones" o "actualizaciones de alta prioridad". Sin malicia, si?


Más engañoso

Y como no podíamos olvidarla, la cláusula de la privacidad:

"NOTA SOBRE PRIVACIDAD: el proceso de validación del software no lo identifica a usted y sólo es usado con el propósito de informale a usted si tiene o no una copia genuina de Windows XP. El software no recoje o envía cualquier información personal sobre usted a Microsoft. El único proceso del software es infornarlo si usted tiene o no instalada una copia genuina de Windows XP. Entre tanto, Microsoft puede recolectar y publicar datos agregados sobre el uso de software.


Esta parte es la disposición de la licencia que parece más engañosa. Allí dice que el proceso de validación no recoje ni envía a Microsoft ninguna información personal del usuario (sería lo mismo que "identificar personalmente al usuario"?). Sin embargo, la empresa ya afirmó en declaraciones sobre WGA en su propio sitio, que la herramienta de validación hace las dos cosas, ya que la dirección IP y el número de serie del HD son individuales, y por tanto, personalmente asociables con el usuario. Así, esta cláusula de licencia parece estar referida, a través del sustantivo "el programa" ("the software") a la herramienta de notificación. Todavia, alguna acción, que el contexto nos hace presumir que será ejecutada por "the software", es allí llamada "proceso de validación" (validation process ).

"En cualquier momento"

Lo que esto puede significar, de dos, tres: o la herramienta de notificación también hace validación o Microsoft nunca solicita el consentimiento del usuario para enviar así ciertas informaciones que recolecta, ya que ese dispositivo afirma que el proceso de validación, cuyo propósito único sería de notificar al usuario, no envía ese tipo de información (información identificable personal). Si tal licencia pretende definir como su objeto a ambas componentes de WGA, esta es inadecuada e incorrecta, pues algún proceso de WGA recoje y envía a Microsoft informaciones individuales asociables, y por tanto, identificables personalmente con el usuario, que precisa ser informado de eso para dar consentimiento conciente en el contrato instrumentado por la licencia.

De modo que vamos a buscar, en tal licencia, explicaciones sobre lo que hace la herramienta de validación, aquella que admite recolectar y enviar a Microsoft informaciones identificables personalmente al usuario. 

La marca de malo ejemplo

Esas explicaciones parecen estar restringidas a la sección 3:

3. SERVICIOS BASADOS EN INTERNET. Microsoft provée servicios basados en Internet con este software. Esos servicios pueden ser alterados o cancelados en cualquier momento.

a. Consentimiento para Servicios basados en Internet. El recurso de software descripto abajo conceta a Microsoft y sus sistemas computacionales proveedores de servicios a través de internet. En algunos casos, usted no recibirá un aviso separado cuando la conexión vaya a ocurrir. Usted puede desconectar esos recursos o no usarlos. Para más información sobre estos recursos visite http://go.microsoft.com/fwlink/?LinkId=56310. Al utilizar estos recursos, usted consiente en la transmisión de estas informaciones. Microsoft no usa estas informaciones para identificar o contactarlo a usted.

i. Información sobre la computadora. El software usa protocolos de internet, que envían a Microsoft, informaciones sobre su computadora, tales como la clave del producto Windows XP, el nombre del fabricante de la computadora, la versión del sistema operativo, el ID de producto de Windows XP, información sobre la BIOS de la computadora, la configuración de idioma del usuario y la versión de lenguaje de Windows XP.

ii. Uso de las informaciiones. Podemos usar las informaciones sobre la computadora para mejorar nuestros programas y servicios. Podemos también pasarla a terceros, tales como vendedores de hardware y software. Ellos podrán usar tales informaciones para mejorar la forma en que sus productos operan con programas Microsoft.


A línea a habla de conexiones con sistemas proveedores de servicios, de avisos a los usuarios sobre algunas de esas conexiones, o de recursos que el usuario puede desconectar o no usar. Pero de cuáles recursos está hablando? Serían las conexiones? Serían los avisos? Serían los no-avisos? Otro dispositivo de licencia )el que contiene el link a "beneficiios", citado arriba), da a entender que se puede desconectar los avisos, pero las dudas persisten. Después del link de más arriba, de ineficacia legal ya comentada, lo que sigue tiene la misma característica que mi ejemplo hospitalario, de un médico que quiera extraer la vesícula de un paciente anestesiado para extirpar su apéndice. ¿Cómo es posible, considerando lo que aquí se muestra (o no se muestra), no usar el recurso que conciente el envío de "ciertas informaciones" ? ¿Qué recurso, usos e informaciones son esas?


El paciente pagador

La licencia no habla de cuándo o cuáles "informaciones sobre la computadora" serán enviadas. Apenas a través de algún ejemplo (such as...) el item i. pretende describirlas. La licencia no dice, por ejemplo, de la dirección IP ni del número de serie del HD, informaciones individuales que han admitido que envían. La licencia no explica, ni permite al usuario estimar, en qué sentido las informaciones no explicitadas y enviadas podrían, o no, ofrecer, cuando se las agrupa, medios para identificar personalmente al usuario. La licencia no permite, ni permite estimar, en qué sentido un usuario puede usar su objeto contractual u obtener un servicio de él.

¿Sería un servicio notificar al usuario que él está corriendo una copia pirata de XP, habiendo comprado él eso de buena fe, si alguien más ya tuviera validada su copia, a través de WGA con la misma llave de producto como ya denuncian algunos? ¿O sería eso un deservicio? Para extraer del lenguaje técnico de la licencia algún sentido legal, hay que presumir que ella pretende definir como objeto contractual las dos herramientas que componen el WGA. Pero cualquiera que sea ese sentido, este sólo se revela después de instalado el primer componente (la herramienta de validación), sin opción de desinstalación, excepto tal vez con la reinstalación de todo el sistema, pero sin más derecho a actualizaciones excepto las que se consideran críticas.

Críticas, ¿pero en qué sentido? ¿En el sentido del apéndice-médico-vesícula? Críticas en el sentido de incluir programas que se comportan como espías, sobre los cuales el consumidor no tiene cómo saber, técnica o legalmente (vea más abajo) lo que hacen con su computadora, de cuya insuficiencia relativa (beta pre-release) el usuario sólo se entera durante la instalación, y que si los rechaza, las consecuencias pueden ser también nefastas (desactualización). El combate a la piratería, es de hecho algo crítico. Pero, por cierto, un problema que es del negocio del médico no debería servir de motivo para poner en riesgo la salud del paciente pagador. 

"Tu no puedes"

Para concluir, queda todavía la duda sobre cual de los dos componentes fue insuficientemente testeado. De la sección 4 de la licencia, del esfuerzo en decifrarla y de la páctica de la programación, la más racional lectura nos llevaría a concluir que ambas: 

[4- SOFTWARE PRELANZAMIENTO. Ese software es una versión prelanzamiento. Puede no funcionar en la forma en que una versión final funcionará. Podemos modificarla hasta la versión final, comercial. Podemos también no lanzar una versión comercial.]

Concluyendo: Si WGA está en tu computadora, por lo menos parcialmente si la licencia fue rechazada, y si lo que fue instalado no puede ser desinstalado, por lo menos sin pérdidas y riesgos, y si Microsoft fuese a modificarlo para una versión comercial, por lo menos por haber finalizado las pruebas, que sucederá con vos? Vas a tener que pagar más, si ya pagaste por Windows XP? Cual es el precio? Tendrás alguna elección? Veamos lo que dice la sección 6 de la licencia:

6.Propósito de la licencia. Este software está licenciado y no vendido. Ese contrato le da sólo algunos derechos para usar el software. Microsoft se reserva todos los demás derechos. A menos que una ley aplicable le dé derechos más allá de los aqui limitados, sólo podrás usar el software de acuerdo a lo expresamente permitido por el contrato. Al usarlo, deverás respetar las limitaciones técnicas del software que sólo te permite usarlo de ciertas formas. No se puede:

Que se migre a GNU/Linux

Estamos contemplando aquí, una transición hacia el futuro. En ese futuro, el software de uso general será servicio y lo que será posible otener serán licencias para usarlos sólo de la forma permitida. Ciertamente Microsoft, en este su admirable mundo nuevo, encontrará los medios para revisar si quien tiene la licencia está cumpliendo con todas las cláusulas y si el usuario está entendiendo lo que ellos quieren que entienda. Parece claro, también que quien permanece en sus productos tendrá que acordar en compartir con ellos su computadora. Que su privacidad estará en manos de ellos y que ellos podrán controlar su computadora, con o sin su conocimiento o consentimiento. Ellos no le informarán los detalles de lo que está haciendo en él o con él, a juzgar por este incidente, o tal vez tampoco avisarle de nada, como menciona la licencia asociada a WGA.

Nunca está demás repetir algo cuya imcomprensión resulta ser cada vez más dificil de sostener, estimular, manipular, racionalizar, camuflar, fetichizar o fingir, aún con toda la ayuda de los grandes medios: Adquirir programas no es como comprar un producto. Aúnque se lo diga así, no se trata de comprar, digamos, Windows XP, Vista o MS Office como se compra un jabón, para usarlo como uno quiera. Las licencias de Microsoft - en la de XP en la última cláusula, en el principio de la 6º - explican con todas las letras: el producto no es vendido, es licenciado. Microsoft dejará al comprador usar sus (de ellos) programas apenas sobre las condiciones y limitaciones que ellos determinen. Condiciones y limitaciones que como se ve, pueden cambiar según el caso. Condiciones hoy muy lejanas de las garantías ofrecidas por ley, inclusive las de derecho de autor, especialmente en lo que atañe a la producción intelectual del licenciante. Y se trata de limitaciones artificiales, técnicas o contractuales que alcanzan incluso, por ejemplo, a la forma en la que el usuario podrá grabar sus (de él) archivos, como y cuándo su archivo digital podrá ser accedido, a través de qué tipo de licencia, software o servicio.

Tales licencias constituyen una especie de contrato, a través del cual una parte renuncia de derechos garantizados por la ley. Las licencias denominadas privativas (en las que el licenciante tiene al objeto contractual bajo custodia), como hace Microsoft, esa part es usted si quisiera usar legalmente el programa. En el caso de la licencia asociada a WGA, de dificil comprensión aún para especialistas, la licencia le está siendo ofrecida muy tarde para ser rechazada en forma significativa, o sin considerable riesgo. Será esta su única opción? En el artículo "windows anti-piracy program causes shock for doing its job", el periodista Stan Beer se sorprende de la reacción negativa que WGA causó, diciendo que Microsoft está siendo bastante honesto al respecto. A quien no le guste, dice él, puede migrarse a GNU/Linux!

Su copia es suya

La reacción del periodista Stan Beer ilustra cómo este incidente representa de hecho una buena oportunidad para poner en perspectiva los diferentes modelos de licenciamiento para bienes simbólicos. Oportunidad para entender qué está en juego, lo por qué de movimientos como el de Software Libre y de Creative Commons, o el como de sus filosofías y prácticas, que ofrecen soluciones sanas y eficaces contra el mal de la piratería digital. Linux es un núcleo de sistema operativo, usado en más de doscientas distribuciones de sistemas libres. La licencia de Linux es conocida por la sigla GPL (GNU General Public License) y a esa licencia no le importa cómo usted usa el software licenciado.

A la GPL no le importa cómo usted usa, instala, copia, presta, alquila o comparte una versión ejecutable del software licenciado, en cuantas computadoras quiera. No le importa que usted comparte el programa con otros, que pruebe y publique resultados, que lo adapte para sus necesidades (a través el acceso al código fuente), o que lo use para fines comerciales. Usted puede conocer, estudiar y discutir tanto los programas como la licencia, antes de decidir aceptarla recibiendo, aún gratuitamente, una copia del programa. Para instalaciones de su copia, usted puede contratar soporte o servicio de quien juzgue competente, de quien quiera o de nadie.

Usted puede hacer todo esto sin violar la GPL, pues su copia es suya, aún sin ser usted el autor. Los autores le cedieron de antemano la propiedad de ella, de la copia que por ventura llegue a sus manos. Por eso nadie precisa, ni tendrá por la GPL, derecho a espiarlo para saber cómo usted usa o configura, si la licencia está válida, o en qué HD está alojada, donde vive usted o con qué dirección IP usted se vuelve identificable en el ciberespacio.

Hipocresía sofocante

En la licencia GPL, la parte que aporta sus derechos garantizados por ley es el autor del software, en beneficio de todos los interesados. Los que quieren usarlo, y los que quieren ganar dinero con el conocimiento del software. En beneficio principalmente de él, el autor, por ser él quien mejor conoce su obra, a menos que su principal objetivo sea el control (del mercado, de los usuarios, de la evolución del software, etc). La revolución digital puede, si, dar un nudo a la lógica material de la ganancia, la que atribuye propiedad al bien inmaterial y confunde monopolio con exito o paraíso (Vide Veja ed. 1963: " Os santos do capitalismo"). Puede, porque no es fácil controlar valores simbólicos y porque la hiperconectividad transforma de manera aún mal entendida, las relaciones que agregan valor simbólico, especialmente en la producción colaborativa de bienes inmateriales. Piense en esto, para tener la opción de preguntarse a si mismo: ¿qué prefiere?


Por la revolución digital, el mundo llegó a una encrucijada donde hay una opción realmente importante que hacer. Usted no está obligado a aceptar los términos cada vez más abusivos y degradantes de las licencias como las de Microsoft. Si usted es una empresa, un organismo público o un simple cibernauta, sepa que, con o sin marketing, usted tiene opción. Si no la tuviese, no tendríamos sub-revoluciones como la de la computadora personal (sin esta reducción de tamaño estaríamos todavía con mainframes) y la del código abierto (no tendríamos internet, la solución LAMP, etc...). No habría dinero o ambición o miedo, manipulables para la demonización de las alternativas, capaz de sofocar el presente. Si usted opta por la inercia, reaccionando con cosas tipo "no me venga con ideología o rencores, yo quiero una solución técnica", el progreso de lo sin malicia le ayudará a ser víctima del síndrome de Estocolmo, por el cual podrá racionalizar hasta la muerte sus motivos para continuar rehén.

Pero si usted desea remover el WGA, cualquiera sea el motivo, aproveche la ocasión y valorice el momento. Saque la cabeza de avestruz de la arena digital (donde las licencias no se ven) y observe la pregunta que la sigla, incisiva como la esfinge, le propone: ¿Será que el Windows mismo es genuinamente ventajoso para usted? Será que su seguridad digital y la seguridad del modelo comercial de la provedora del sistema son la misma cosa? O la suya, por genuina o pirata que sea su copia, debe ser apenas un item de marketing del negocio de ellos? Si usted, honestamente no sabe, sólo haga un intento honesto de saber: avance y haga un servicio completo. Instale una plataforma GNU/Linux, GNU / Hurd o BSD de su elección en su hardware. Planee su migracion, con la cautela exigida por los grilletes de su legado informático. Usted podrá descubrir lo bueno que es sentirse tratado con respecto y dignidad. Dueño de su cibernariz, y respirar libre, al menos de esa sofocante hipocresía.

licencia Creative Commons.