Leía ayer* un artículo que me dejaba helado: The World’s Email Encryption Software Relies on One Guy, Who is Going Broke. Lo que traducido vendría a ser «el cifrado del correo electrónico mundial depende de un tipo que va a la quiebra«. El titular se refiere a Werner Koch, creador y principal desarrollador de GPG, y el caso que nos ocupa es increíble por varios motivos.
GPG, también conocido como GNU Privacy Guard o GnuPG, es el software criptográfico más extendido para cifrar comunicaciones y otro tipo de datos: por ejemplo, GPG es la herramienta que utilizan las distribuciones Linux para verificar los repositorios… ¡y la que utilizo yo para cifrar mis archivos! Es decir, GPG es un elemento de seguridad crítico -al máximo nivel- en el que cada día confían millones de personas.
GPG es obra de Werner Koch, quien en 1997 asistió a una charla de un tal Richard Stallman que sin duda lo inspiró, porque unos meses más tarde iniciaría un proyecto tan singular como GPG, la alternativa libre al estándar de la época, PGP. Y desde entonces, Koch se dedica a desarrollar GPG como único mantenedor continuado en activo.
Así, cabe preguntarse por qué el principal desarrollador de una pieza de software tan sensible y popular «va a la quiebra». ¿Problemas de juego? ¿Derroche sin más? Porque un programador de ese calibre, en esa posición, debería cobrar lo suyo y más en Alemania, país de Koch. Pero la pregunta adecuada no es por qué va a la quiebra o cuánto cobra, sino de qué vive este hombre. ¿De qué vive -repetimos- el principal desarrollador de una pieza de software tan sensible y popular como GPG? La respuesta, desafortunadamente, es que nadie le pagaba por su trabajo: vivía de la caridad, de las donaciones. ¿Suena duro? Es aún peor.
Desde que Koch comenzase con GPG ha sido financiado por el Gobierno alemán en dos ocasiones: en 1999 y hasta el 2000, para llevar GPG a Windows -así nació GPG4Win-, lo que le permitió contratar a un desarrollador; y en 2005, para diseñar otro sistema de cifrado. Sin embargo, los fondos se agotaron en 2010 y en 2012 tuvo que prescindir del otro programador; en 2013 pensó en abandonar y pasar al mundo empresarial, donde sería mejor remunerado.
¿Por qué siguió? «A principios de 2013 estaba realmente a punto de dejarlo todo y coger un trabajo normal«, dice Koch, pero ese junio estalló el escándalo de la NSA y Edward Snowden y «me di cuenta de que no era el momento de cancelarlo» (según Snowden, GPG es un método que la NSA todavía no habría roto, y de hecho es el que usó él mismo para comunicarse con periodistas; aunque vaya usted a saber si desde 2013 han cambiado las cosas).
Koch explica que desde 2001 ha ganado alrededor de 25.000 dólares -unos 21.800 euros- anuales, lo que supone poco más de 2.000 dólares -unos 1.800 euros- al mes. O sea, no, este hombre de 53 años con mujer e hijo no ha pasado hambre, pero con su experiencia podría haber multiplicado sus ingresos fácilmente en el sector privado. Además, ha debido administrar bien el dinero, porque ha llegado a tener a varios desarrolladores contratados y si es por las donaciones -en 2011, 553 €; en 2012, 5.991 €; en 2013, 5.041 €; en 2014, 34.700 €- hace tiempo que hubiese echado el cierre. En los últimos años, además, había acumulado unos 9.000 euros de pérdidas.
Sin agravios comparativos, por la posición que ocupa y el trabajo que desempeña, Koch debería disfrutar de una situación económica segura y desahogada, y no solo porque su trabajo lo merece. Si nos vamos al extremo, a la desconfianza total que Koch aplica en GPG y por la cual un código fuente libre es más seguro que uno cerrado al poder ser analizado en busca de trampas o errores, ¿cómo se puede dejar desamparada a la persona que controla el desarrollo de una herramienta como GPG?
Koch parece un tipo honesto y más que eso, ya que antepone sus principios al lucro personal. Y GPG, por su idiosincrasia, tiene muchos ojos encima. Pero lo mismo se suponía de OpenSSL -de nuevo, mantenido por voluntarios y a base de donaciones hasta que Heartbleed hizo reaccionar a los gigantes de la tecnología– y al igual que está quien ve el vaso medio lleno y quien lo ve medio vacío, está quien puede asociar un bug crítico sonado con una puerta trasera intencionada. A buen entendedor…
Por cierto, no estoy diciendo que Werner Koch deba ingresar decenas de miles de euros y vivir a cuerpo de rey, pero qué mínimo que no pasar necesidad y verte con el agua al cuello, obligado a subsistir de donaciones que a lo mejor llegan, a lo peor no. Cuánto tendría que ganar no lo sé. El propio Werner lanzó una campaña de financiación para 2015 con la cifra que, para él, cumpliría con sus expectativas de cobrar un sueldo más apropiado, volver a contratar un desarrollador experimentado a tiempo completo y afrontar diferentes reformas: 120.000 euros.
No voy a entrar en si es mucho o poco lo que pide, porque lo más increíble de esta historia viene ahora: casi un par de meses después de poner en marcha la campaña para 2015, las donaciones ascendían a unos 40.000 euros. Un incremento notable respecto a ejercicios anteriores que, no obstante, seguía siendo insuficiente aun con el año recién empezado. Hasta que ayer ProPublica publicara el artículo de marras y se meneara ese avispero que es Internet.
¿Qué ha pasado desde ayer? Esto:
- A falta de que se actualice la página de donaciones, ya se han sobrepasado con creces los 120.000 euros.
- GPG ha recibido 60.000 dólares del Core Infrastructure Initiative de la Linux Foundation, un programa surgido a raíz del mencionado Heartbleed y que precisamente consiste en dotar de fondos a proyectos clave para la infraestructura de Internet.
- Facebook y Stripe -una firma de pagos en línea- se han comprometido a aportar 50.000 dólares anuales cada uno a GPG.
Y colorín colorado, este cuento se ha… ¿acabado? Va a ser que no. El de GPG y Werner Koch es un caso llamativo que parece haberse resuelto por el momento. Pero hay muchos otros que siguen más o menos así. Como dice Koch, desarrollar software libre no es viable económicamente, tiene que salirte de dentro… pero depender de donaciones en proyectos críticos para la seguridad -por ejemplo, por mantener la independencia- no es la respuesta. Bien por Facebook y Stripe.
*Este artículo debería haberse publicado ayer: así está redactado y así debe ser leído; pero no puedo ser.