Una grieta en la seguridad de la Red

Un error en uno de los principales programas de conexi¨®n segura utilizado en Internet ha tenido potencialmente expuestos a millones de usuarios desde hace dos a?os. El lunes, Google difundi¨® un punto d¨¦bil en el sistema de cifrado que utiliza para sus conexiones seguras, llamado OpenSSL, que tambi¨¦n ha afectado a gigantes como Yahoo y Amazon. Esta grieta, existente desde 2011 y descubierta en diciembre de 2013 por un t¨¦cnico de Google, podr¨ªa haber permitido a hackers robar contrase?as de los usuarios.

El problema afecta a las conexiones seguras, las que comienzan con ¡°https¡± y aparecen en la barra de direcciones cuando el usuario introduce datos delicados, habitualmente contrase?as. El fallo ha sido bautizado en ingl¨¦s como Heartbleed, o ¡°coraz¨®n sangrante¡±, porque afecta a un tipo de intercambio de informaci¨®n en web, el Heartbeat (latido de coraz¨®n).

El agujero de seguridad est¨¢ en el c¨®digo fuente (los bloques de construcci¨®n que componen un programa inform¨¢tico) de las versiones 1.0.1 a 1.0.1f de OpenSSL. Ya existe una nueva versi¨®n lista para descargar que subsana el fallo: la 1.0.1g. Los internautas de las p¨¢ginas que utilizan este c¨®digo habr¨ªan sido potencialmente vulnerables desde 2011. Y si alguien hubiera accedido a informaci¨®n confidencial, no habr¨ªa dejado rastro. Pero los expertos llaman a la calma porque no hay razones para suponer que la seguridad haya sido violada desde entonces.

Open SSL es un sistema de seguridad utilizado por algunas de las principales web que existen, y ¡°entre el 50% y el 70%¡± de servidores seg¨²n Igor Unanue, t¨¦cnico de la empresa de seguridad S21SEC. Ricardo Galli, fundador de Men¨¦ame, rebaja los servidores afectados a unos 500.000. Es gratuito y funciona como una herramienta que las web utilizan para cifrar la informaci¨®n que intercambian con los usuarios individuales, para que esta no pueda ser robada por terceros.

Open SSL es un programa de c¨®digo abierto. Es decir, supuestamente cualquier programador puede participar en la escritura de su ADN, aunque eso no quiere decir que lo pueda alterar a voluntad como los art¨ªculos de Wikipedia.

Lo usan desde Yahoo, Google, Facebook o Amazon, a la plataforma de juegos Steam, pasando por el software de conexi¨®n segura Tor. Potencialmente podr¨ªa haber dejado sin cobertura de seguridad a millones de usuarios que almacenan los datos de sus tarjetas bancarias en p¨¢ginas de pago, o que utilizan el e-mail o los mensajes instant¨¢neos.

El fallo puede incluso afectar a quien se conecte a su cuenta de banco por Internet, si usan este m¨¦todo de cifrado (existen otros), aunque Unanue recuerda que las entidades siempre utilizan sistemas de seguridad complementaria, independientes del cifrado de la contrase?a. La Caixa afirm¨® ayer que sus servidores usan una versi¨®n de Open SSL que no ha sido afectada.

Un portavoz de Yahoo explic¨® ayer que la empresa ha arreglado el problema en sus webs Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finanzas, Yahoo Deportes, el sitio de fotos Flickr y la de blogs Tumblr, y que est¨¢n trabajando para subsanar el error en el resto de sus webs. Google public¨® que la vulnerabilidad ha afectado a los usuarios de Search, Gmail, YouTube, Wallet (que se utiliza para realizar pagos), Play (descarga de aplicaciones para Android), Apps, y App Engine (donde los desarrolladores suben sus aplicaciones), y tambi¨¦n ha subsanado el bug.

Los afectados de mayor tama?o est¨¢n parcheando (jerga para arreglos de c¨®digo) el error, pero el alcance todav¨ªa se desconoce. El arreglo fue fabricado por Adam Langley, ingeniero en el desarrollo del navegador Chrome, de Google, y Bodo M?ller, experto alem¨¢n en cifrado PGP, que trabaja para ACM, una sociedad inform¨¢tica dedicada a la divulgaci¨®n El descubrimiento del problema fue realizado paralelamente por un t¨¦cnico de Google llamado Neel Mehta y por Codenomicon, una empresa finlandesa.

La vulnerabilidad podr¨ªa haber afectado a unas 600 de las 10.000 p¨¢ginas con m¨¢s tr¨¢fico de la red, seg¨²n un experto de la empresa Qualys citado por Associated Press. Eso supone ¡°millones¡± de usuarios cuya informaci¨®n ha estado potencialmente expuesta, afirma Chema Alonso, experto en seguridad inform¨¢tica y CEO de la empresa Eleven Paths, cuya seguridad tambi¨¦n ha sido afectada (y que ya ha arreglado el problema).

?C¨®mo funciona el fallo? Open SSL es un programa de c¨®digo abierto. Es decir, supuestamente cualquier programador puede participar en la escritura de su ADN, aunque eso no quiere decir que lo pueda alterar a voluntad como los art¨ªculos de Wikipedia. Roberto Velasco, cofundador de la empresa vasca de software Arima y de la de seguridad Hdiv, explica el ¡°procedimiento habitual¡± en la escritura de c¨®digo abierto. ¡°Se utilizan repositorios de c¨®digo fuente en Internet. El que m¨¢s se usa se llama Github, y sirve para almacenar proyectos. Cada proyecto tiene unos administradores que controlan la calidad del c¨®digo. El usuario puede enviar trozos de c¨®digo para introducir cambios, y si el administrador los acepta, los incluye en el c¨®digo fuente final¡±.

Y un fallo en el c¨®digo puede crear una vulnerabilidad. ¡°Una cosa es el bug, es decir, el fallo en el c¨®digo, y otra es el exploit, la manera de sacar partido del fallo¡±, detalla Alonso. Hay p¨¢ginas web donde se pueden conseguir exploits, programas que permiten sacar partido de las grietas de seguridad. Pero ¡°no se conocen incidencias todav¨ªa¡±, explica con calma Unanue. Quiere decir que no se sabe de ning¨²n delincuente que haya aprovechado para obtener informaci¨®n de usuarios.

Esto no quiere decir necesariamente que los programas abiertos sean m¨¢s proclives a estos fallos. Por su naturaleza, existe un historial detallado de los cambios con el que se puede trazar cu¨¢ndo se introdujo el error; pero localizar al responsable es m¨¢s complicado, ya que normalmente el programador no usa su nombre y puede que ni siquiera su IP (la ¡°firma¡± electr¨®nica) real. Fuera quien fuere, el fallo ha agrietado la seguridad de internet.