Es poco probable que el mayor fallo de encriptado se arregle en la
mayoría de dispositivos vulnerables como los sistemas de domótica y equipos de
red empresariales
Se calcula que el fallo de seguridad descubierto esta semana afecta a
dos tercios de los sitios web y tiene a los usuarios de internet desesperados
por comprender el problema y actualizar sus contraseñas en línea. Pero muchos
sistemas vulnerables al fallo están ocultos al público y es poco probable que
se arreglen.
OpenSSL, en el que se ha encontrado el fallo, bautizado como
Heartbleed, se usa de forma generalizada en el software que conecta los
dispositivos en casas, oficinas y entornos industriales a internet. Este fallo
podría permanecer durante años en dispositivos como el hardware de red, los
sistemas de automatización domésticos e, incluso, sistemas clave de control
industrial, porque todos ellos se actualizan con muy poca frecuencia.
Los dispositivos conectados a la red suelen ejecutar un servidor web
básico para permitir al administrador
acceder a los paneles de control en línea. En muchos casos estos servidores se
aseguran a través de OpenSSL y tendrían que actualizar su software de forma constante,
explica el presidente de la empresa de seguridad Lieberman Software, Philip
Lieberman. Sin embargo es poco probable que esto sea una prioridad. "Los
fabricantes de esos dispositivos no lanzarán parches para la gran mayoría de
sus dispositivos y los consumidores parchearán por su cuenta una cantidad
insignificante de los mismos".
Los aparatos de televisión por cable y los routers domésticos son sólo
dos de los principales tipos de dispositivos que probablemente estén afectados,
explica Lieberman. "Los proveedores de internet tienen millones de
dispositivos de este tipo con el fallo dentro", afirma.
Es probable que este mismo problema afecte a muchas empresas, porque
gran cantidad del hardware de red empresarial e industrial y de los sistemas de
automatización empresarial también depende de OpenSSL, y este tipo de
dispositivo tampoco se suele actualizar. La revisión a gran escala de
direcciones de internet ya ha descubierto en anteriores ocasiones cientos de
miles de dispositivos desde equipos informáticos hasta sistemas de control del
tráfico que están configurados mal o no se han actualizado para resolver fallos
conocidos (ver "Qué pasó cuando un solo hombre puso a prueba todo
internet").
Resulta complicado calcular cuántos dispositivos conectados a internet
son susceptibles de tener el fallo Heartbleed, pero lleva mucho tiempo presente
en OpenSSL. "Cualquier cosa que se compilara en una versión de OpenSSL
entre diciembre de 2011 y antes de ayer podría ser vulnerable", afirma el
investigador de seguridad de la empresa de seguridad Rapid7, Mark Schloesser.
Otra incógnita es a qué datos de valor se puede acceder mediante un
ataque aprovechando Heartbleed. Schloesser afirma que las pruebas hechas hasta
ahora sugieren que varía mucho de un sistema a otro. Los servidores de Yahoo,
por ejemplo, filtraron contraseñas de usuarios, mientras que otros filtraban
cosas de poco valor.
No todos los que se dedican ahora mismo a averiguar qué sistemas
filtran información importante son investigadores de seguridad bienintencionados.
"Hay mucha gente intentando explotar el fallo a gran escala",
sostiene Schloesser. Destaca la actividad observada en los registros de
servidores web para encontrar sistemas vulnerables desde que se dio a conocer
el problema, y la aparición de scripts que se pueden usar para probar si los
dispositivos tienen vulnerabilidades asociadas con Heartbleed o no.
Fuente: MIT Technology Review
