Heartbleed, que afecta a dos terceras partes de los sitios, alerta de
que internet se basa en un proyecto de código abierto con escasos recursos
Dos terceras partes de los sitios web en el mundo tienen una enorme
vulnerabilidad de seguridad que podría ser utilizada para descifrar las
conexiones encriptadas y robar contraseñas de usuario o claves de cifrado de
una compañía. La noticia hizo que los administradores de sistemas de los
117.000 servidores que se estima se han visto afectados (incluyendo los de
grandes empresas como Yahoo) se lanzaran a buscar una solución. También está
llevando a algunos a preguntarse por qué el software en el que se encontró el
error crítico, utilizado ampliamente, no recibe un mejor soporte.
El fallo, conocido como Heartbleed, es un pequeño defecto en una
versión de un paquete de código abierto llamado OpenSSL. Es utilizado por los
servidores web para ofrecer conexiones cifradas "TLS", que aparecen
ante los usuarios con la imagen de un candado y el prefijo "HTTPS" en
la barra de direcciones del navegador, y se utilizan para proteger la banca en
línea y otras comunicaciones privadas.
Hay alternativas al OpenSSL, pero es, con diferencia, el software más
utilizado para estas tareas. La mayoría de sitios web lo utilizan para proteger
sus datos y los de sus usuarios. Sin embargo, el proyecto OpenSSL está dirigido
principalmente por voluntarios. Depende de donaciones y a diferencia de algún
otro proyecto de código abierto no tiene patrocinadores corporativos.
Es imposible saber si el error Heartbleed hubiera podido evitarse con
un mayor número de fondos. Pero algunos expertos en seguridad ven el incidente
como un recordatorio de que, lo que esencialmente es una parte crítica de la
infraestructura de internet, parece carecer de un soporte adecuado por parte de
quienes dependen de ella.
- El investigador de privacidad en la ACLU (EEUU), Christopher Soghoian, sugiere que podría ser apropiado contar con apoyo gubernamental:The US gov spends billions on cybersecurity. Why isn't any of that spent improving core software libs like OpenSSL, which we all depend on. (El Gobierno de EEUU invierte miles de millones en ciberseguridad. ¿Por qué nada de está inversión se utiliza para mejorar el núcleo del software de bibliotecas como OpenSSL, de las que todos dependemos?)
- Christopher Soghoian (@csoghoian) April 8, 2014
El profesor de criptografía Matthew Green, de la Universidad Johns
Hopkins (EEUU), ha llegado a conclusiones similares en su blog explicando el
ataque:
- "El historial de los desarrolladores de OpenSSL es bastante sorprendente teniendo en cuenta lo mucho que se utiliza esta biblioteca, la antigüedad del código y el número de plataformas (¡más de ochenta!) a las que dan servicio. Tal vez cuando tengan que poner parches en sus servidores, a algunas de las grandes empresas que utilizan OpenSSL se les ocurra financiarla sin compromiso para que siga funcionando".
Otros dentro de la industria de la seguridad sostienen que el diseño de
OpenSSL se ha quedado obsoleto y necesita ser reemplazado desde cero. De
cualquier manera, el caos (y los peligros) creados por Heartbleed son una buena
excusa para que las empresas web o incluso los gobiernos dediquen fondos a
mantener los componentes básicos de la seguridad en línea, como en el caso de
OpenSSL.
Fuente: MIT Technology Review
