Heartbleed, el error más peligroso que ha vivido Internet

11 abril 2014

La seguridad es algo que siempre se ha puesto y se pondrá en duda. Y no es raro, en realidad, pues lo cierto es que se juega con tantas variables, que nunca se sabe cuándo alguna de ellas puede fallar. Es lo que ha ocurrido con OpenSSL, y lo que ha dado vida a Heartbleed, un fallo de seguridad de increibles dimensiones.

¿Cuál es el peligro?

Por culpa de Heartbleed, un error de seguridad del que hablaremos más adelante, se ha podido tener acceso a toda la información almacenada en los servicios web de Internet. Concretamente, hablamos de los más importantes, todos aquellos que utilizan OpenSSL, que serían el 56% de todos los sitios web mundiales. Y cuando hablamos de toda la información almacenada hablamos de nombres de usuarios, contraseñas, cuentas bancarias, correos electrónicos, y todo lo que se almacena en un servidor.

¿Por qué ha ocurrido esto?

OpenSSL es un sistema de criptografía que utilizan una inmensa cantidad de sitios web en todo el mundo. Seguro que a muchos os suena el candado que aparece en la barra de navegación cuando estáis en una página web. Siempre se sugiere, como medida de seguridad, que cuando estemos comprando en una tienda, o en la web del banco, este candado esté presente, pues indica que la transferencia de datos está cifrada. Se cifra en muchos casos, el 56% de las webs del mundo según algunos datos, utilizando OpenSSL, el sistema de criptografía del que hablamos.

Este sistema es de código abierto, y es mantenido por desarrolladores que pertenecen a algunas de las empresas de seguridad más importantes del mundo, son desarrolladores de alto nivel. Sin embargo, en algún momento hace dos años, uno de ellos introdujo por error un fragmento de código erróneo, del cual nadie se ha dado cuenta hasta ahora. Este código estaba relacionado con la función “heartbeat”, de ahí el nombre. Esta función genera una especie de latido que permite sincronizar los distintos servicios de un servicio online. El error en esta función permitía a cualquiera realizar una llamada al servidor, y recibir una porción de información de 64 Kbytes. ¿Qué significa eso? Que cualquiera puede descargar datos de cualquier web sin que haya seguridad ninguna. Básicamente, es como permitir a un ladrón entrar a nuestra casa solo 30 segundos. No puede vaciarnos la casa de una sola vez, pero si puede entrar las veces que quiera, con la puerta abierta, al final puede llevarse todo lo que quiera. Pues eso es lo que ocurre con Heartbleed.

La seguridad, insegura

Uno de los grandes problemas de este error de seguridad es que no se encuentra en un simple servicio normal y corriente, sino que es un error de seguridad que se encuentra en un sistema que, en teoría, sirve para aumentar la seguridad de los usuarios. Aquello que tenía que dar confianza a los usuarios, ha sido lo que ha puesto en juego la seguridad de los mismos. Cuando uno está en una tienda online, y ve el icono de transferencia de datos cifrada, cree que está seguro, pero lo cierto es que ha sido todo lo contrario.

¿A quiénes afecta?

Sitios web como Google, e incluso entidades bancarias españolas, han sido afectados por este error. Lo más probable es que tengamos una cuenta en algún sitio que cuente con OpenSSL. ¿Y si teníamos la misma contraseña que tenemos en el banco? ¿Y si alguien tiene ya nuestra contraseña?

¿El problema está ya solucionado?

Sí, y no. El problema de seguridad en el sistema OpenSSL ha sido solucionado. Ingenieros de Google y Codenomicon se dieron cuenta del error de seguridad, y en lugar de publicarlo, lo comunicaron a los responsables, quienes lo solucionaron con un parche. Ahora, todos los servicios web pueden parchear su sistema OpenSSL y contar con un sitio web mucho más seguro. Sin embargo, este error de seguridad ha estado presente durante dos años. Se cree que nadie sabía de su existencia hasta ahora, pero si alguien lo sabía y no lo ha dicho, puede llevar mucho tiempo robando dinero o recabando datos de acceso a cuentas. Aunque las webs ahora sean seguras, de nada nos vale si alguien tiene nuestra contraseña.

¿Qué puede hacer cada usuario?

Por ello, los sitios web que ya han solucionado el problema recomiendan a los usuarios cambiar todas sus contraseñas. Sin embargo, no es recomendable cambiarlas todas si hay sitios web que todavía no hayan parcheado el problema. La solución más recomendable es cambiar las contraseñas y utilizar una única para cada servicio. Eso en este mismo momento. Dentro de un par de semanas, realizar el mismo proceso, cambiando de nuevo las contraseñas. Y en un mes, volver a cambiar contraseñas de nuevo. Con contraseñas únicas para cada servicio estamos aumentando la seguridad, y nos aseguramos de que si alguna de esas contraseñas es conocida, los demás sitios web en los que estamos registrados no estén comprometidos.

 

Temas Relacionados