Muere Peter Neumann a los 93: fundador del RISKS Digest y pionero de seguridad

El mundo de la seguridad informática perdió a uno de sus pilares fundacionales. Peter G. Neumann, fundador del legendario RISKS Digest y científico principal de SRI International durante más de medio siglo, falleció el 17 de mayo de 2026 a los 93 años, según confirmó su hija Hellie a través de la lista de correo de Multicians.

La noticia se conoció primero en círculos cerrados: la lista privada de quienes alguna vez trabajaron en Multics, y de ahí saltó a la comunidad Unix a través de TUHS. Neumann murió mientras dormía en un hospital de Santa Clara, California, por complicaciones de una caída sufrida semanas antes. En sus últimas horas, según contó su hija, escuchaba música clásica.

TL;DR

• Peter G. Neumann murió el 17 de mayo de 2026 en Santa Clara, California, a los 93 años, por complicaciones de una caída reciente.
• Trabajó 55 años en SRI International como científico principal del Computer Science Laboratory.
• Fundó y moderó el RISKS Digest desde 1985, archivo público con miles de incidentes de fallos en sistemas críticos.
• Coautor del diseño original de Multics en Bell Labs durante los años 60, antecesor directo de Unix.
• Lideró el modelo de amenazas de CHERI, la arquitectura de hardware con capacidades que Arm adoptó en Morello.
• Recibió el ACM SIGSAC Outstanding Contribution Award y fue miembro de la National Academy of Engineering.
• Era pianista, trompista y cornista; sus últimas horas las pasó escuchando música clásica con su hija.

Qué pasó

El domingo 17 de mayo de 2026, hacia la 1:27 PM hora del Pacífico, Tom Van Vleck publicó un mensaje en la lista de correo de Multicians informando del fallecimiento de Peter Neumann. El aviso lo firmó Robert Watson, profesor de la Universidad de Cambridge y colaborador cercano de Neumann en el proyecto CHERI durante la última década.

"Lamentablemente, escribo con la desgarradora noticia de que Peter Neumann falleció mientras dormía anoche, en el hospital de Santa Clara, por complicaciones derivadas de su caída y la subsiguiente operación de hace unas semanas", indicó Watson en el correo. Su hija Hellie estaba con él en el hospital y, según el relato, ambos escuchaban juntos música clásica en el momento del desenlace.

El mensaje cruzó rápidamente las fronteras de Multicians: Dan Cross lo reenvió a TUHS (The Unix Heritage Society), y desde allí se replicó en Mastodon, Hacker News y los foros de comp.risks que el propio Neumann había moderado durante 40 años. SRI International confirmó la noticia poco después y anunció que organizará un servicio conmemorativo en Menlo Park dentro de aproximadamente un mes.

Quién era Peter Neumann

Para quienes no han pasado por una facultad de ciencias de la computación o por la disciplina de seguridad, el nombre de Peter Neumann puede no resultar familiar. Pero su firma está en casi todo lo que hoy entendemos como buenas prácticas para construir sistemas que no se rompen catastróficamente.

Nacido el 7 de septiembre de 1932, Neumann se doctoró en Matemáticas Aplicadas por Harvard en 1961 y completó estudios en la Technische Hochschule Darmstadt en Alemania. Sus primeros 12 años profesionales transcurrieron en Bell Labs, donde participó del diseño original de Multics, el sistema operativo que serviría de inspiración directa para Unix.

En 1971 se incorporó a SRI International, en Menlo Park, donde permaneció 55 años hasta el día de su muerte. Allí construyó el Computer Science Laboratory en torno a una obsesión: entender por qué los sistemas informáticos fallan y, sobre todo, cómo diseñarlos para que fallen menos.

Neumann era reconocido por sus lazos pajarita y su archivo personal de incidentes informáticos.

Multics: la cuna de Unix

A mediados de los años sesenta, Bell Labs, MIT y General Electric se unieron en un proyecto ambicioso llamado Multics (Multiplexed Information and Computing Service). El objetivo era construir un sistema operativo de tiempo compartido robusto, con anillos de protección, segmentación de memoria y una arquitectura de seguridad sin precedentes para la época.

Peter Neumann fue uno de los arquitectos clave del modelo de protección de Multics. Aunque el proyecto se cerró comercialmente sin alcanzar el éxito esperado, sus ideas viajaron con Ken Thompson y Dennis Ritchie cuando ellos crearon Unix como respuesta minimalista a la complejidad de Multics. Muchos de los conceptos que hoy damos por sentado en cualquier kernel moderno — separación entre espacio de usuario y espacio del kernel, jerarquía de privilegios, control de acceso — nacieron en aquellas reuniones.

Tom Van Vleck, otro veterano de Multics y quien notificó la muerte, describió alguna vez a Neumann como "la conciencia técnica del proyecto": el ingeniero que insistía en preguntar qué podía salir mal antes de implementar cada subsistema.

📌 Nota: El RISKS Digest sigue siendo accesible en catless.ncl.ac.uk/Risks y suma más de 33 volúmenes con cientos de números cada uno. Neumann lo moderó personalmente, número por número, hasta semanas antes de su muerte.

RISKS Digest: cuatro décadas de fallos documentados

Si Multics fue la primera parte de su carrera, la segunda — y probablemente la más influyente — empezó en 1985, cuando Peter Neumann fundó el Forum on Risks to the Public in Computers and Related Systems, conocido por todos como RISKS Digest o simplemente comp.risks en Usenet.

La idea era simple y radical: un archivo público, moderado y de acceso abierto donde la comunidad técnica pudiera reportar, discutir y aprender de cada incidente significativo de fallo de software, hardware o procesos. Desde el Therac-25 hasta las elecciones electrónicas de Estados Unidos, pasando por el Boeing 737 MAX y los apagones masivos de proveedores cloud, durante 40 años el RISKS Digest documentó miles de eventos con un rigor y una continuidad sin precedentes en la disciplina.

Su libro Computer-Related Risks (Addison-Wesley, 1995) recoge y sistematiza los casos más relevantes de los primeros diez años del foro. Sigue siendo lectura obligatoria en cursos de ingeniería de software crítico, junto con los textos clásicos de Nancy Leveson sobre seguridad de sistemas. Pocos libros técnicos pueden presumir de mantenerse vigentes tres décadas después de su publicación, y este es uno de ellos.

CHERI: capacidades en el hardware

En la última década de su vida, Neumann dedicó buena parte de su tiempo al proyecto CHERI (Capability Hardware Enhanced RISC Instructions), una colaboración entre SRI International y la Universidad de Cambridge financiada inicialmente por el programa CRASH de DARPA.

CHERI extiende un procesador RISC convencional con capacidades de hardware: punteros que llevan consigo metadatos sobre qué pueden y qué no pueden hacer. La promesa es resolver de raíz la mayoría de las vulnerabilidades de memoria — esos buffer overflows, use-after-free y type confusions que siguen siendo aproximadamente el 70% de los CVEs reportados cada año.

El trabajo de Neumann en CHERI fue principalmente conceptual: lideró el análisis del modelo de amenazas y la integración con el sistema operativo CheriBSD, una variante de FreeBSD que utiliza las primitivas del nuevo hardware.

// Pseudocódigo simplificado de una capability CHERI
struct capability {
    uintptr_t base;       // dirección base permitida
    uintptr_t length;     // tamaño válido del rango
    uint32_t  perms;      // permisos: read, write, execute, ...
    uint32_t  otype;      // tipo opaco para sealing
    bool      tag;        // bit de validez no falsificable
};

El éxito comercial llegó cuando Arm presentó Morello, un prototipo de SoC basado en Neoverse N1 con extensiones CHERI, en colaboración con el UK Industrial Strategy Challenge Fund. Microsoft Research publicó estudios mostrando que CHERI bloquearía aproximadamente dos tercios de las vulnerabilidades de memoria observadas en su propio código base.

CHERI sustituye punteros convencionales por capacidades con metadatos verificados por hardware.

Datos y cifras de una carrera

• 55 años ininterrumpidos en SRI International (1971-2026), un récord inusual incluso para los estándares académicos.
• 40 años moderando el RISKS Digest, con más de 33 volúmenes y miles de incidentes documentados.
• 2 libros de referencia: Computer-Related Risks (1995) y participación en numerosas antologías sobre seguridad.
• Más de 200 publicaciones técnicas entre papers, reportes y testimonios ante el Congreso de Estados Unidos.
• 3 décadas liderando o asesorando programas de DARPA sobre sistemas computacionales confiables.
• Miembro de ACM Fellow, IEEE Fellow, AAAS Fellow y de la National Academy of Engineering.

Impacto y análisis

El legado de Peter Neumann es difícil de medir con métricas convencionales. No fundó una empresa unicornio, no acuñó un acrónimo viral, no patentó nada que se vendiera en silicio masivo. Lo que hizo fue mucho más raro: durante seis décadas insistió, con paciencia y precisión académica, en que la complejidad sin disciplina conduce al desastre.

La ingeniería del software moderno aún no ha resuelto los problemas que Neumann advirtió en los años setenta. Cada vez que un sistema de salud falla, una elección se rompe o un banco pierde datos de millones de clientes, lo que vemos es la confirmación de su tesis central: los riesgos de los sistemas computacionales son sistémicos, no anecdóticos, y requieren disciplina arquitectónica desde el primer día de diseño.

💭 Clave: Neumann no era pesimista respecto a la tecnología. Era realista. Insistía en que los fallos no son accidentes inevitables, sino consecuencias predecibles de decisiones de diseño que se pueden identificar y corregir antes de que ocurran.

Robert Watson, su colaborador en CHERI, lo describió en redes sociales como "un científico que entendía la dimensión humana de la ingeniería de seguridad". Steve Bellovin, otro veterano del campo, recordó cómo Neumann fue uno de los primeros en advertir sobre los riesgos de las elecciones electrónicas estadounidenses a principios de los noventa, mucho antes de que la conversación pública lo aceptara.

El hombre detrás del científico

Neumann era reconocido tanto por su trabajo como por su personalidad. Sus lazos pajarita eran legendarios en SRI. Su afición por los juegos de palabras y los acrónimos recursivos llenaba sus presentaciones. Era pianista, trompista y cornista, y mantuvo durante décadas un grupo de música de cámara en el área de la bahía de San Francisco.

"Era un amigo y colega maravilloso", concluyó Watson en su mensaje a la lista de Multicians. La descripción coincide con la de casi todo aquel que pasó por su despacho: un científico riguroso, un mentor generoso y un humanista que siempre encontraba la conexión entre el contrapunto barroco y la verificación formal de sistemas.

Qué sigue

SRI International confirmó que organizará un servicio conmemorativo en Menlo Park dentro de aproximadamente un mes. Está previsto que asistan colaboradores de Cambridge, Berkeley, MIT y representantes de las agencias federales con las que Neumann trabajó durante décadas.

El futuro del RISKS Digest es la pregunta abierta más sensible. El foro estaba sostenido principalmente por la dedicación personal de Neumann; no hay todavía un anuncio oficial sobre quién o cómo continuará la moderación. La comunidad de comp.risks ya inició una conversación sobre el plan de sucesión, con varios nombres en la mesa entre los moderadores históricos.

El proyecto CHERI tiene continuidad asegurada: Cambridge sigue liderándolo y Arm continúa invirtiendo en Morello. Pero la pérdida del modelo conceptual que Neumann aportaba al equipo se notará durante años en cada revisión de diseño.

📖 Resumen en Telegram: Ver resumen

Preguntas frecuentes

¿Quién era Peter G. Neumann?

Era científico principal de SRI International, fundador del RISKS Digest y uno de los pioneros del proyecto Multics. Trabajó durante más de seis décadas en sistemas computacionales confiables y seguros.

¿De qué murió Peter Neumann?

Falleció por complicaciones derivadas de una caída sufrida semanas antes y la cirugía posterior. Murió mientras dormía el 17 de mayo de 2026 en el hospital de Santa Clara, California, a los 93 años.

¿Qué es el RISKS Digest?

Es un archivo público y moderado de incidentes informáticos que afectan al público en general. Neumann lo fundó en 1985 y lo moderó durante 40 años. Sigue siendo accesible en el archivo de catless.ncl.ac.uk/Risks.

¿Qué relación tiene Neumann con Unix?

Trabajó en el diseño de Multics en Bell Labs durante los años sesenta. Aunque Unix se creó después como reacción a la complejidad de Multics, muchas ideas de seguridad y diseño viajaron de un sistema al otro.

¿Qué es CHERI y cuál fue su rol allí?

CHERI es una arquitectura de hardware con capacidades que añade seguridad de memoria a procesadores RISC. Neumann lideró el modelo de amenazas y la integración con CheriBSD, en colaboración con la Universidad de Cambridge.

¿Habrá un servicio conmemorativo?

Sí. SRI International organizará un memorial en Menlo Park dentro de aproximadamente un mes, según confirmaron sus colaboradores cercanos.

Referencias

• TUHS Mailing List — Anuncio original del fallecimiento reenviado por Dan Cross desde la lista de Multicians.
• SRI Computer Science Laboratory — Página personal de Peter Neumann en SRI con su bibliografía completa.
• RISKS Digest — Archivo histórico completo del foro fundado por Neumann en 1985.
• Multicians.org — Sitio de la comunidad histórica de Multics donde se conoció primero la noticia.
• Proyecto CHERI — Página oficial del proyecto CHERI en la Universidad de Cambridge.

📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.