heartbleed

Cuando entras en una página, en realidad tu ordenador accede al equipo donde se ubican todos los archivos que luego visualizas en la pantalla. Si utilizas alguna contraseña en el sitio, también llegará al servidor, donde quedará almacenada. Para que ningún cibercriminal pueda robar esta información, las empresas utilizan protocolos seguros, como el típico SSL, que cifra las comunicaciones entre los equipos conectados a la red.

Por eso, cuando en abril de 2014 se hizo público que el paquete de software OpenSSL tenía una grave vulnerabilidad, las compañías de medio mundo contuvieron la respiración. Desde 2012, la versión de código abierto del protocolo SSL no estaba cumpliendo con su labor de protección.

El principal responsable del hallazgo fue el ingeniero de Google Neel Mehta, que dio con él tras revisar a fondo el código fuente de la herramienta. Mehta, junto con miembros del equipo de Codenomicon, bautizaron al agujero CVE-2014-0160 con un nombre más sencillo: Heartbleed, por el logo de un corazón sangrante que utilizaron para comunicar la importancia del fallo.

La vulnerabilidad permitía a los ciberdelincuentes acceder a los datos de los usuarios (contraseñas, cuentas bancarias y otra información sensible) guardados en los servidores de los sitios de Internet usando OpenSSL.

La noticia mantuvo en vilo a miles de empresas que utilizaban el paquete para cifrar las comunicaciones de sus páginas web o entre servidores internos. Incluso los ‘routers’ se basan en el sistema SSL. Uno de los afectados fue el Sistema de Salud Comunitario (CHS) de Estados Unidos: los datos de 4,5 millones de pacientes permanecieron en riesgo hasta que las autoridades subsanaron el error.

teclado de ordenador

Afortunadamente, como para cualquier agujero de seguridad, había solución. El equipo de OpenSSL desarrolló una actualización del software en la que desaparecía. Los profesionales solo tenían que seguir unos pocos pasos para que sus comunicaciones volvieran a ser seguras.

Sin embargo, un reciente informe de un grupo de expertos en seguridad revela que el 74% de las empresas más grandes del mundo aún están en riesgo. ¿La razón? Ninguna ha completado la totalidad del camino para deshacerse del malware. Además de instalar la nueva versión (la 1.0.1g o superior), había que anular y cambiar las claves de cifrado y los certificados de la biblioteca. Este proceso que requiere ciertos conocimientos informáticos y, en muchos casos, contactar con los proveedores de los certificados digitales. Unas labores que la mayoría ha dejado a medias.

Aunque algunos expertos han puesto en duda los resultados del análisis, lo cierto es que Heartbleed no es un ‘bug’ cualquiera. Cuando las vulnerabilidades afectan únicamente a un programa suelen subsanarse rápidamente, pero, durante sus dos años de vida, el agujero en OpenSSL acabó afectando al 66% de las páginas activas en Internet, según datos de Netcraft. Incluso viejos conocidos como Yahoo! o Flickr tuvieron que arreglar el problema.

La biblioteca de cifrado es una de las más utilizadas por cualquier tipo de empresa, desde un sitio de comercio electrónico hasta la simple identificación de los usuarios en una plataforma corporativa. OpenSSL se usa a menudo para proteger servidores de correo, chats y redes privadas virtuales.

Los usuarios no tenían posibilidad de hacer nada, solo confiar en que los responsables de las webs que más visitaban hubieran puesto remedio. Las compañías sí tenían deberes que hacer para subsanar el problema. Esperemos que, al menos, los datos del informe sirvan para que algún rezagado se ponga manos a la obra.

Más | ¿Ha sido tan malo Heartbleed?