El dispositivo que controla mi bomba de insulina usa el kernel de Linux, pero viola la GPL

 (old.reddit.com)
1 puntos por GN⁺ 2025-12-27 | 1 comentarios | Compartir por WhatsApp
  • Un controlador de dispositivo médico que controla una bomba de insulina funciona sobre el kernel de Linux
  • Ese dispositivo no cumple las condiciones de la GPL (Licencia Pública General), por lo que está en violación de licencia
  • Los usuarios señalan como problema que no se está cumpliendo la obligación de publicar el código fuente
  • En la comunidad también se debate conjuntamente la transparencia del software de código abierto y la confiabilidad de los dispositivos médicos
  • La violación de la GPL llama la atención como un caso que expone los límites del uso de código abierto en el sector de dispositivos médicos

Controlador de bomba de insulina basado en el kernel de Linux

  • Un dispositivo que controla una bomba de insulina está usando el kernel de Linux
    • El dispositivo realiza la función de ajustar automáticamente la administración de insulina
    • Un usuario confirmó que el kernel de Linux está integrado en el equipo
  • Ese dispositivo está violando las condiciones de la licencia GPL
    • La GPL establece que los productos que usan el kernel tienen la obligación de publicar el código fuente
    • Sin embargo, este dispositivo se vende sin posibilidad de acceder al código fuente

El problema de la violación de la GPL y la transparencia del código abierto

  • Un usuario señaló la violación de la GPL y exigió la publicación del código fuente
    • Aunque está claro que usa el kernel, el fabricante no proporciona el código
  • En la comunidad se critica que los fabricantes de dispositivos médicos ignoren sus obligaciones de código abierto
    • La violación de la GPL va más allá de un simple problema legal y también afecta la seguridad del usuario y la confiabilidad

El choque entre los dispositivos médicos y el código abierto

  • En la industria de dispositivos médicos es común mantener políticas de firmware cerrado
    • Esto provoca conflictos legales y éticos con la comunidad de código abierto
  • La violación de la GPL en un dispositivo médico que usa el kernel de Linux se menciona como un caso representativo de falta de transparencia
    • Cuando una tecnología basada en código abierto se aplica a dispositivos médicos, es importante cumplir las obligaciones de divulgación

Reacción de la comunidad

  • Algunos usuarios piden medidas para hacer cumplir la GPL
    • Sostienen que el fabricante debe publicar el código del kernel
  • Otros usuarios también discuten la seguridad de los dispositivos médicos y la responsabilidad legal
    • Señalan un vacío regulatorio cuando el software de código abierto se usa en dispositivos médicos

Implicaciones

  • Este caso llama la atención como un raro ejemplo de una violación de la GPL ocurrida en un dispositivo médico real
  • Muestra la necesidad de un equilibrio legal y ético entre la comunidad de código abierto y la industria de dispositivos médicos
  • En adelante, se requiere reforzar el cumplimiento de licencias en productos que usan el kernel de Linux

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-12-27
Comentarios de Hacker News
  • Intenté pedirle a Insulet el código fuente del kernel con licencia GPLv2
    pero simplemente decir “como hay GPL, tienen que dar el código” es un malentendido
    en realidad, la empresa debe enviar al usuario una “oferta por escrito (written offer)”, y el usuario puede solicitar el código fuente con base en esa oferta
    si la empresa envió la oferta pero no la cumple, eso sería un incumplimiento contractual, pero si ni siquiera envió la oferta en primer lugar, entonces sería una violación de la GPL (no soy experto legal)
    • Este sigue siendo un tema que no está claramente resuelto en lo legal
      en el caso Conservancy v Vizio se está discutiendo si los consumidores tienen derecho a hacer cumplir la GPL directamente
    • El período de validez de 3 años de la oferta por escrito es solo una de varias formas de distribución
      si no hubo oferta, no se puede amparar en esa cláusula y tendría que cumplir la GPL por otros medios
    • Sobre la pregunta de si una “oferta por escrito” implica incumplimiento contractual, también existe la postura de que una simple oferta no es lo mismo que un contrato
    • En EE. UU. quizá esa interpretación sea posible, pero en Alemania incluso el usuario final puede exigir directamente el código fuente y demandar
    • La GPL en sí misma es un contrato, así que aquí hay que distinguir entre el contrato entre licenciante y licenciatario y la relación entre licenciatario y usuario
  • Recomendaría de verdad leer el comentario destacado escrito por alguien interno de la empresa
    muchas veces el desarrollo de hardware se ve como un centro de costos y se externaliza, así que suele pasar que ya no quede nadie que pueda gestionar solicitudes GPL
    el equipo de soporte de primera línea no tiene capacidad para manejar este tipo de pedidos, y es común que los correos circulen internamente hasta que se olvidan
    si llega al equipo legal, se ponen a hacer cuentas para ver “¿esto realmente implica un riesgo legal?” y la mayoría de las veces lo ignoran
    cuando trabajé en una empresa que antes tenía muchos temas relacionados con GPL, me aseguré de guardar un tarball GPL de cada lanzamiento y también de capacitar al equipo de soporte
    el 70% de las solicitudes nacían de la molestia causada por el malentendido de “¿por qué no me dan todo el código fuente?”
    esa experiencia me ayudó a entender por qué el equipo de soporte evita las solicitudes GPL
    • Pero si código no GPL estaba enlazado directamente (link) con código GPL, entonces las quejas de esos usuarios podrían haber sido válidas
  • En un caso así, lo correcto es contactar por la vía de abogados a través del equipo legal
    ni los ingenieros ni soporte van a tomar una decisión legal sobre entregar activos de la empresa
    sería de mucha ayuda que la FSF publicara una plantilla de requerimiento con la base legal y el procedimiento para reclamar daños
    • También existe la respuesta de que “eso no es un activo de la empresa”
  • Si la parte afectada por la GPL es solo el kernel de Linux, entonces probablemente casi no habría derecho a recibir código fuente especial
    usar el kernel no impone por sí solo obligaciones GPL a los programas de espacio de usuario (userspace)
    probablemente sea una combinación de un kernel no modificado y programas de espacio de usuario de código abierto
    • Si es así, entregar el código fuente debería poder resolverse de forma muy simple
    • Además, módulos de drivers que usan un shim GPL (por ejemplo, el driver de NVIDIA) no quedan cubiertos por la GPL, así que no entiendo por qué el autor cree que hay una infracción
  • Estas discusiones sobre violaciones de licencia realmente generan mucho estrés
    si de verdad hay una infracción, entonces simplemente habría que demandar y dejar que lo decida un tribunal
    si se trata de un dispositivo médico, parecería algo que valdría la pena intentar por unos cientos de dólares
    • Pero es probable que el OP no sea el titular de los derechos de autor del kernel de Linux
    • Además, no hay forma de que una demanda termine costando solo unos cientos de dólares
  • Si compilaron el kernel directamente, quizá bastaría con indicar el enlace al repositorio oficial del kernel de Linux
    • Pero si la empresa lo compiló directamente con fines comerciales, entonces no cumpliría ambas condiciones de GPLv2 3(c), así que no podría aplicar esa cláusula
  • ¿No estarán hablando de Omnipod?
    han tenido muchos retiros del mercado, y es difícil confiar en la calidad de su hardware y software
    lo siento por quien haya trabajado en esa empresa, pero ojalá ahora esté en un lugar mejor
  • Como alguien que no depende de insulina, lo que me da curiosidad es por qué una bomba de insulina tendría que controlarse con un celular
    parecería que bastaría con usar un controlador Bluetooth, y usar un teléfono barato fabricado en China da la impresión de aumentar el riesgo de filtración de datos
    • Es por seguridad. El PDM está completamente aislado y no permite instalar apps ni conectarse a Wi‑Fi
      si se controla mal, podría ocurrir una sobredosis letal de insulina
      curiosamente, el Omnipod 5 de la misma empresa sí puede controlarse con un smartphone común en EE. UU.
    • Antes, para controlar una bomba con un dispositivo externo, era obligatorio proporcionar un controlador dedicado
      por eso Insulet lanzó un dispositivo aparte
      los CGM como Dexcom G7 también venden un “controlador” por la misma razón
      últimamente la FDA relajó ese requisito y ahora ya permite productos pensados para usar el teléfono del usuario
  • De hecho, este dispositivo ya ha sido objeto de ingeniería inversa (RE)
    puede verse en proyectos como Loop, Trio y OpenAPS
    Insulet ha sido bastante tolerante con este tipo de hackeos
    lo que hace falta ahora es ayudar con la RE del Omnipod 5
    • Yo también estoy en contacto con algunas personas que conocen el trabajo de RE del Omnipod 5
      el problema actual es que el PDM/app recibe una clave privada desde la API al iniciar sesión y la guarda en el keychain, y además usa SSL pinning para impedir ataques de intermediario
      todavía no han podido extraer la clave privada, así que el avance va lento
    • Estoy intentando hacer RE de la lectura de datos de glucosa de la bomba Minimed (780G), pero todavía no está completamente resuelto
      ojalá pueda aportar algo algún día
  • Me preguntaba si existe algún proceso para presentar una petición a la FSF sobre casos así
    me gustaría saber con qué criterios eligen los casos
    • En realidad, quien se encarga no es la FSF sino la SFC (Software Freedom Conservancy)
      la teoría dominante es que la GPL solo puede ser exigida por el titular de los derechos de autor
      la SFC busca, mediante la demanda contra Vizio, que también se reconozca al usuario final como tercero beneficiario con capacidad de exigir la GPL
      la FSF solo puede intervenir cuando se le han cedido los derechos de autor, como ocurre en el proyecto GNU
      las infracciones relacionadas con GNU pueden reportarse a license-violation@gnu.org
      la SFC también es representante legal de varios proyectos como OpenWrt, Git y QEMU
      para reportes, se puede consultar la página de ayuda de la SFC
      aun así, la SFC tiene recursos limitados y suele priorizar casos con alto impacto social, como los dispositivos médicos
      en particular, tienen figuras como Karen Sandler (usuaria de desfibrilador cardíaco) y Bradley Kühn (usuario de monitor de glucosa), así que muestran mucho interés en los problemas de dispositivos médicos