¿Automattic robó software de código abierto?

• Imagina una situación en la que Apple ve a Spotify como una amenaza y toma medidas injustas, y supón que Spotify demanda a Apple por ello. ¿Qué pasaría si, como respuesta, Apple hiciera lo siguiente?
  • Bloquear a Spotify del ecosistema de desarrolladores y hacer imposible actualizar su app en la App Store
  • Declarar que, como Spotify no puede ofrecer las actualizaciones necesarias, “hay que hacer algo”
  • Transferir silenciosamente a Apple la propiedad de la app de Spotify en la App Store
  • Modificar el código para eliminar la forma de pasar de la app gratuita a funciones de pago
  • Los usuarios existentes de Spotify en la App Store pasarían a ser ahora usuarios de Apple. Solo los usuarios que usen la app de Spotify en plataformas fuera de la App Store seguirían siendo usuarios de Spotify
  • Cuando se le pregunte sobre la imparcialidad, afirmar que el equipo de la App Store actúa de forma independiente de Apple
• Claro que algo así nunca ocurriría. No solo sería anticompetitivo, sino también legalmente cuestionable
• Sin embargo, si cambias Apple por Automattic, la App Store por WordPress.org y Spotify por uno de los plugins más populares de WordPress, se está acusando al CEO de Automattic de haber organizado algo muy parecido
• Se apropió de la propiedad de un plugin llamado Advanced Custom Fields (ACF), creado por WP Engine, el mayor competidor de Automattic
• Este incidente es una vergüenza sin precedentes en la historia del código abierto en la web

Resumen del conflicto corporativo entre Automattic y WP Engine

• Automattic es la creadora del CMS de código abierto WordPress, y WordPress representa el 43% de las páginas web y el 65% de los CMS
• WordPress es popular por su licencia GPL permisiva, sus potentes temas, muchas opciones de personalización, una marca fuerte, una enorme inversión en desarrollo y porque existe desde hace 20 años
• Automattic es la empresa respaldada por capital de riesgo detrás de WordPress, el mayor contribuyente al proyecto y la compañía que controla la marca comercial de WordPress para uso comercial
• WP Engine es un competidor destacado en el mercado de hosting administrado para WordPress, con ingresos anuales estimados en alrededor de $400M, mientras que los de Automattic rondan los $500M al año
• Automattic levantó $980M en inversión de venture capital en 2021 con una valoración de $7.5B, y WP Engine recibió $250M en inversión de private equity de Silver Lake Partners en 2018

Automattic y WP Engine están en medio de un conflicto corporativo total, y en las últimas dos semanas Automattic ha lanzado la siguiente serie de ataques:

• Insulto/respuesta: WP Engine respondió con una orden de cese y desistimiento a los insultos públicos de Automattic
• Cese y desistimiento/cumplimiento: Automattic envió una orden de cese y desistimiento alegando infracción de marca, y WP Engine aparentemente respondió actualizando el uso de la marca como uso legítimo
• Bloqueo/solución: WordPress Foundation (WordPress.org) bloqueó el acceso de WP Engine al directorio de plugins de WordPress.org, y WP Engine desarrolló una solución que no depende del directorio de plugins de WordPress.org
• Contrademanda: WP Engine presentó una demanda contra Automattic y la describió como “un caso sobre abuso de poder, extorsión y codicia”. Afirma que Automattic ocultó que los derechos de marca de WordPress fueron transferidos en secreto a Automattic, y que sus actos causaron daños económicos a WP Engine y a la comunidad de WordPress
• Bloqueo en WordPress.org: Aunque la demanda de WP Engine es contra Automattic y su CEO, WordPress.org prohibió a cualquiera relacionado con WP Engine acceder al sitio y actualizar plugins. El directorio de plugins de WordPress.org es la forma en que la mayoría de los sitios WordPress actualizan sus plugins

WordPress Foundation y Automattic están completamente entrelazadas, y WordPress Foundation parece representar los intereses comerciales de Automattic. Matt Mullenweg, fundador y CEO de Automattic, confirmó recientemente que él es personalmente propietario de WordPress.org. Debido a estas relaciones entrelazadas, en el resto de este texto nos referiremos a Automattic como el “actor”, incluyendo las acciones de WordPress.org o WordPress Foundation. Desde una perspectiva comercial, los acontecimientos actuales están impulsados por los intereses de Automattic.

La controversia por la apropiación del plugin de WP Engine

• El 13 de octubre, Matt Mullenweg, CEO de Automattic y propietario de WordPress Foundation, anunció en el Slack de WordPress que iba a “bifurcar” Advanced Custom Fields (ACF)
• La reacción fue totalmente negativa. El anuncio comenzaba así:

  “En representación del equipo de seguridad de WordPress, anunciamos que estamos activando el punto 18 de las directrices del directorio de plugins para bifurcar Advanced Custom Fields (ACF) en un nuevo plugin llamado Secure Custom Fields. SCF fue actualizado para eliminar los upsells comerciales y resolver un problema de seguridad.”

• El plugin ACF es el más instalado de los creados por WP Engine y ocupa el puesto 28 entre los plugins más populares de WordPress en general
• Automattic afirma que este cambio es un “fork”, pero no lo es:
  • Automattic tiene derecho a hacer un fork del plugin, y de hecho lo hizo, pero además está reemplazando ese plugin en el directorio y trasladando silenciosamente a más de 2 millones de clientes de ACF a ese fork
  • La URL se mantiene igual, y también las reseñas existentes. Las reseñas que señalan este hecho están siendo eliminadas activamente
  • Más de 2 millones de clientes que instalaron este plugin durante la última década ahora pasan a pertenecer a un nuevo propietario
• Volviendo al ejemplo de Apple y Spotify, es como si Apple “arrebatara” la app de Spotify y todos sus usuarios, mientras deja a Spotify fuera del ecosistema
• En la orden de cese y desistimiento, Automattic afirmó que “WP Engine casi no contribuye nada a WordPress”, pero Automattic se apropió de 2 millones de sitios que usan una contribución de WP Engine a WordPress: un plugin que ha tenido un enorme éxito durante más de 10 años
• Las acciones de Automattic se parecen, en cierto sentido, a un ataque a la cadena de suministro:
  • Cuando un actor toma silenciosamente el control de un plugin en el directorio y distribuye cambios funcionales sin divulgación pública, eso se considera un ataque a la cadena de suministro, y eso es exactamente lo que ocurrió aquí
  • Automattic no solo se apropió de la propiedad del plugin ACF, sino que además distribuyó pequeños cambios en la lógica de negocio sin avisar a los clientes, lo que provocó fallas en cientos de sitios
• Las acciones de Automattic parecen dirigidas a reducir los ingresos de WP Engine:
  • El anuncio de Matt Mullenweg incluía la frase “para eliminar los upsells comerciales”
  • WP Engine obtiene ingresos significativos del plugin ACF Pro

¿WP Engine quedó como el único proveedor de hosting WordPress de nivel empresarial?

• Todos los proveedores de WordPress que usan el directorio de plugins de WordPress.org pasaron a formar parte de un ataque a la cadena de suministro impulsado por el propio Automattic
  • La excepción notable es WP Engine. Fue bloqueado hace semanas y es uno de los pocos proveedores administrados que no usa el directorio de plugins de WordPress.org para las actualizaciones de plugins
  • Como resultado, los clientes de WP Engine no vieron la apropiación silenciosa del plugin ACF
• Este incidente es un escenario de pesadilla para las empresas que se toman en serio la seguridad de la cadena de suministro
  • Automattic demostró que está preparado para apoderarse de plugins cuando quiera, y también que distribuye cambios silenciosos casi sin pruebas
  • Eso significa que es irresponsable que empresas y organismos gubernamentales dependan del directorio de plugins de WordPress.org
• Irónicamente, es posible que Automattic haya creado la mejor publicidad posible para su mayor competidor en su guerra contra WP Engine
  • WP Engine ahora tiene evidencia de que es inmune a las apropiaciones no autorizadas de plugins
  • No solo el plugin ACF, sino también varios paquetes como Nitropack, ya no pueden enviar actualizaciones al directorio de plugins de WordPress. ¡Salvo para los clientes de WP Engine!

Lo que viene

• Hace dos semanas especulé sobre cómo podría terminar este conflicto, pero nunca imaginé que Automattic usaría el administrador de plugins de WordPress para arrebatar el plugin de otra empresa y quedarse con 2 millones de usuarios
• A Automattic no parece importarle cuánto daño se hace a sí mismo o al ecosistema más amplio de WordPress, y usará la WordPress Foundation para impulsar su propia agenda. Como resultado, podrían ocurrir las siguientes cosas:
  • Los clientes corporativos y gubernamentales tendrán cautela al migrar a WordPress
  • Los competidores de WordPress se beneficiarán
  • WP Engine intentará hacer crecer su negocio empresarial
  • Automattic parecerá cada vez más impredecible
  • No habrá cambios para la mayoría de los sitios WordPress
• Lamentablemente, parece que Automattic desechó una ética no escrita pero valiosa para lastimar a WP Engine
  • Pero aprovechar una plataforma neutral (el administrador de plugins de WordPress) no debería ser la forma de ganar en los negocios
  • Mucho menos en el código abierto
• Piensa qué pasaría si Microsoft se apropiara de un paquete popular de un competidor en npm
  • Si ocurriera algo tan difícil de imaginar, la confianza y el uso del sistema de paquetes npm se desplomarían, y como Microsoft es un actor tan grande, incluso los reguladores antimonopolio podrían intervenir y sancionarlo
• WP Engine seguramente se defenderá por la vía legal, y probablemente no necesite hacer nada más que actuar con civilidad para seguir quitándole cuota de mercado a Automattic
• Espero que los bandos en este conflicto se calmen y dejen de pelear en público. Cada golpe al oponente claramente hace daño, pero los espectadores también están recibiendo golpes cada vez más fuertes
  • Cuanto más se prolongue este drama, más observadores neutrales se irán de WordPress con la intención de no volver jamás
• Sin importar el resultado, Automattic será recordada para siempre como la primera empresa que cruzó una línea ética en el software web de código abierto
• Porque para dañar a su mayor competidor, arrebató un plugin mantenido activamente por otro equipo, utilizó una fundación sin fines de lucro para ejecutar un ataque planeado de antemano e ignoró la ética del código abierto
• “Automattic, ya es hora de competir limpiamente”

Opinión de GN⁺

• Esta acción de Automattic parece haber traicionado la valiosa ética del código abierto para dañar a un competidor
• Es fácil entenderlo si se piensa en qué pasaría si Microsoft, dueño de npm, se apropiara de un paquete popular de un competidor. Si eso ocurriera, la confianza en npm se derrumbaría
• WP Engine responderá legalmente, y con solo mantener una actitud civilizada probablemente podrá seguir arrebatándole cuota de mercado a Automattic
• Ojalá ambos lados de este conflicto se calmen y dejen de pelear en público. Cuanto más se prolongue la pelea, más observadores neutrales abandonarán WordPress
• A partir de ahora, Automattic será recordada como la primera empresa en el software web de código abierto que cruzó una línea ética. Lo será porque, para dañar a su mayor competidor, usó una fundación sin fines de lucro para ejecutar un ataque planeado de antemano e ignoró la ética del código abierto
• Ya es hora de que Automattic compita limpiamente