_
_
_
_
_

Una grieta en la seguridad de la Red

Un fallo en el sistema de cifrado OpensSSL abre la vulnerabilidad de millones de contraseñas

OpenSSL se crea de manera desinteresada por la comunidad informática.
OpenSSL se crea de manera desinteresada por la comunidad informática.KACPER PEMPEL (REUTERS / Cordon Press)

Un error en uno de los principales programas de conexión segura utilizado en Internet ha tenido potencialmente expuestos a millones de usuarios desde hace dos años. El lunes, Google difundió un punto débil en el sistema de cifrado que utiliza para sus conexiones seguras, llamado OpenSSL, que también ha afectado a gigantes como Yahoo y Amazon. Esta grieta, existente desde 2011 y descubierta en diciembre de 2013 por un técnico de Google, podría haber permitido a hackers robar contraseñas de los usuarios.

El problema afecta a las conexiones seguras, las que comienzan con “https” y aparecen en la barra de direcciones cuando el usuario introduce datos delicados, habitualmente contraseñas. El fallo ha sido bautizado en inglés como Heartbleed, o “corazón sangrante”, porque afecta a un tipo de intercambio de información en web, el Heartbeat (latido de corazón).

El agujero de seguridad está en el código fuente (los bloques de construcción que componen un programa informático) de las versiones 1.0.1 a 1.0.1f de OpenSSL. Ya existe una nueva versión lista para descargar que subsana el fallo: la 1.0.1g. Los internautas de las páginas que utilizan este código habrían sido potencialmente vulnerables desde 2011. Y si alguien hubiera accedido a información confidencial, no habría dejado rastro. Pero los expertos llaman a la calma porque no hay razones para suponer que la seguridad haya sido violada desde entonces.

Open SSL es un sistema de seguridad utilizado por algunas de las principales web que existen, y “entre el 50% y el 70%” de servidores según Igor Unanue, técnico de la empresa de seguridad S21SEC. Ricardo Galli, fundador de Menéame, rebaja los servidores afectados a unos 500.000. Es gratuito y funciona como una herramienta que las web utilizan para cifrar la información que intercambian con los usuarios individuales, para que esta no pueda ser robada por terceros.

Open SSL es un programa de código abierto. Es decir, supuestamente cualquier programador puede participar en la escritura de su ADN, aunque eso no quiere decir que lo pueda alterar a voluntad como los artículos de Wikipedia.

Lo usan desde Yahoo, Google, Facebook o Amazon, a la plataforma de juegos Steam, pasando por el software de conexión segura Tor. Potencialmente podría haber dejado sin cobertura de seguridad a millones de usuarios que almacenan los datos de sus tarjetas bancarias en páginas de pago, o que utilizan el e-mail o los mensajes instantáneos.

El fallo puede incluso afectar a quien se conecte a su cuenta de banco por Internet, si usan este método de cifrado (existen otros), aunque Unanue recuerda que las entidades siempre utilizan sistemas de seguridad complementaria, independientes del cifrado de la contraseña. La Caixa afirmó ayer que sus servidores usan una versión de Open SSL que no ha sido afectada.

Un portavoz de Yahoo explicó ayer que la empresa ha arreglado el problema en sus webs Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finanzas, Yahoo Deportes, el sitio de fotos Flickr y la de blogs Tumblr, y que están trabajando para subsanar el error en el resto de sus webs. Google publicó que la vulnerabilidad ha afectado a los usuarios de Search, Gmail, YouTube, Wallet (que se utiliza para realizar pagos), Play (descarga de aplicaciones para Android), Apps, y App Engine (donde los desarrolladores suben sus aplicaciones), y también ha subsanado el bug.

Los afectados de mayor tamaño están parcheando (jerga para arreglos de código) el error, pero el alcance todavía se desconoce. El arreglo fue fabricado por Adam Langley, ingeniero en el desarrollo del navegador Chrome, de Google, y Bodo Möller, experto alemán en cifrado PGP, que trabaja para ACM, una sociedad informática dedicada a la divulgación El descubrimiento del problema fue realizado paralelamente por un técnico de Google llamado Neel Mehta y por Codenomicon, una empresa finlandesa.

La vulnerabilidad podría haber afectado a unas 600 de las 10.000 páginas con más tráfico de la red, según un experto de la empresa Qualys citado por Associated Press. Eso supone “millones” de usuarios cuya información ha estado potencialmente expuesta, afirma Chema Alonso, experto en seguridad informática y CEO de la empresa Eleven Paths, cuya seguridad también ha sido afectada (y que ya ha arreglado el problema).

¿Cómo funciona el fallo? Open SSL es un programa de código abierto. Es decir, supuestamente cualquier programador puede participar en la escritura de su ADN, aunque eso no quiere decir que lo pueda alterar a voluntad como los artículos de Wikipedia. Roberto Velasco, cofundador de la empresa vasca de software Arima y de la de seguridad Hdiv, explica el “procedimiento habitual” en la escritura de código abierto. “Se utilizan repositorios de código fuente en Internet. El que más se usa se llama Github, y sirve para almacenar proyectos. Cada proyecto tiene unos administradores que controlan la calidad del código. El usuario puede enviar trozos de código para introducir cambios, y si el administrador los acepta, los incluye en el código fuente final”.

Y un fallo en el código puede crear una vulnerabilidad. “Una cosa es el bug, es decir, el fallo en el código, y otra es el exploit, la manera de sacar partido del fallo”, detalla Alonso. Hay páginas web donde se pueden conseguir exploits, programas que permiten sacar partido de las grietas de seguridad. Pero “no se conocen incidencias todavía”, explica con calma Unanue. Quiere decir que no se sabe de ningún delincuente que haya aprovechado para obtener información de usuarios.

Esto no quiere decir necesariamente que los programas abiertos sean más proclives a estos fallos. Por su naturaleza, existe un historial detallado de los cambios con el que se puede trazar cuándo se introdujo el error; pero localizar al responsable es más complicado, ya que normalmente el programador no usa su nombre y puede que ni siquiera su IP (la “firma” electrónica) real. Fuera quien fuere, el fallo ha agrietado la seguridad de internet.

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
_

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_