"Guillermito" pierde la apelación en el juicio con Tegam

omo nuestros lectores recordarán, Guillaume T. es un investigador francés en biología molecular que desarrolla su trabajo en el departamento de Genética de la Universidad de Harvard y en el Hospital General de Massachusetts. El seudónimo de "Guillermito" que utiliza responde simplemente a un guiño a sus raíces, ya que sus abuelos eran españoles y migraron a Francia antes del comienzo de la Guerra Civil. Como parte de sus aficiones, Guillaume, publicaba en su página web personal algunos análisis sobre vulnerabilidades que detectaba en diversas soluciones de seguridad.

Desde el 2003 Guillaume se ha visto envuelo en un juicio por una de sus publicaciones. El origen de la acusación se encuentra en un análisis que publicó en su sitio web personal en marzo de 2002, en el cual documentaba varias vulnerabilidades en Viguard, software antivirus de Tegam International que anunciaba como 100% seguro contra virus conocidos y desconocidos. En el artículo publicado, Guillaume analizaba algunos posibles ataques contra Viguard, demostrando que no ofrecía la protección que anunciaba, con varios ejemplos prácticos basados en virus conocidos y otras pruebas de concepto diseñadas para la ocasión.

En un principio Tegam Internacional emprendió una agresiva campaña de  marketing, con anuncios en publicaciones donde literalmente llamaba "terrorista informático" a "Guillermito". Acusación que cobraba una especial relevancia si tenemos en cuenta que apenas habían transcurridos unos meses desde el 11 de septiembre. Posteriormente emprendería acciones judiciales contra Guillaume T. por presunta "falsificación de programas informáticos y ocultación de estos delitos", escudándose para ello en varios artículos del código de la propiedad intelectual y el código penal.

Tras no pocas vicisitudes, el 7 de junio de 2005 la justicia francesa
condenó a Guillaume al pago de 14.300 euros. En realidad la cantidades mínima en comparación con la petición de la acusación, 900.000 euros, que consideraban era sólo el 10% de los daños reales que habían sufrido. Guillaume ironizaba con el hecho de que supuestamente habría hecho perder 9 millones de euros a una empresa cuyo volumen de negocio en 2003 era de 1.4 millones de euros.

El pasado 21 de febrero, tras apelación, la justicia francesa mantenía su fallo, por lo que Guillaume deberá hacer frente a la multa inicial más los intereses.

Un abatido Guillaume T. comentaba "No se tiene derecho en Francia a demostrar técnicamente que un programa informático presenta vulnerabilidades de seguridad o que su publicidad es falsa. Duerman tranquilos, ciudadanos, todos sus programas informáticos son perfectos".

Sin embargo en los últimos días Guillaume T. ha pasado de la decepción inicial a un estado de euforia y orgullo tras comprobar la solidaridad de la comunidad. A los continuos mensajes de apoyo se han sumado las donaciones para ayudarle a comprar "un antivirus nuevo" (en Francia está prohibido solicitar dinero para pagar una multa).

Aquellos que quieran participar en la compra de su "nuevo antivirus" pueden hacerlo a través de la página web personal de "Guillermito" en http://www.guillermito2.net/index-tmp.html

Por último, recordar la posición oficial de Hispasec en relación a
este caso particular, y sobre el papel de las investigaciones en materia de seguridad informática en general, que ya publicamos en nuestra primera nota al respecto en mayo de 2004:

* No existe solución antivirus 100% segura contra virus. Es fácilmente demostrable en todos los productos, y Viguard no es una excepción.

* Si Tegam International anunció que su producto Viguard detectaba el 100% de los virus conocidos y desconocidos, tal y como se puede apreciar en la copia histórica de su web disponible en Internet, la empresa desarrolladora emitió publicidad falsa.

* La investigación y publicación en materia de seguridad informática, y en concreto la búsqueda activa de vulnerabilidades o el desarrollo de ataques a modo de pruebas de concepto, son prácticas necesarias y reconocidas por la industria, ya que favorecen la corrección de debilidades y el desarrollo de soluciones más robustas.

* La investigación sobre vulnerabilidades es una actividad ejercida,
entre otros, por organismos gubernamentales, universidades,
laboratorios, consultoras, grupos de seguridad, particulares, y
los propios desarrolladores de software de seguridad y antivirus.

* Los análisis independientes permiten a los usuarios obtener
información crítica y vital para su seguridad, no supeditada a
los intereses comerciales de los propios desarrolladores y
distribuidores.