Lo que Heartbleed dice de la seguridad de Internet
La vulnerabilidad en OpenSSL estuvo presente durante dos años sin que nadie se diese cuenta.
Caos. Pesadilla. El fin de Internet. Las reacciones exageradas que pronosticaban una especie de apocalipsis internauta llenaron los titulares de muchos medios generalistas esta semana, todo desde que se descubrió Heartbleed, la vulnerabilidad que afectó a OpenSSL, el protocolo de encriptación más popular (lo usan dos tercios de las webs), y que según parece estuvo así sin que nadie se diese cuenta durante dos años. Dos años en los que los hackers que lo descubrieran podrían haber estado recolectando nombres de usuarios y contraseñas con total tranquilidad e impunidad.
Enseguida hubo que tranquilizar un poco a la gente y dejar de ver esos escenarios en los que Internet se rompe: Heartbleed es algo serio, muy serio, incluso, pero una vez descubierto se puede arreglar. Además, no se sabe hasta qué punto la vulnerabilidad fue explotada por cibercriminales (¿la conocían o había pasado desapercibida, como le pasó a todo el mundo?).
Lo preocupante de Heartbleed no es tanto qué información haya podido resultar comprometida en particular, sino lo que dice de la seguridad de Internet en general: se trata de una vulnerabilidad introducida en OpenSSL (ese candado que aparece cuando estamos en una conexión “segura” en el que todo el mundo confiaba) en la Nochevieja de 2011. Lo hizo uno de los voluntarios de OpenSSL que en teoría estaba mejorando el código, pero su código tenía una errata de la que nadie se dio cuenta hasta esta semana. Y esa errata creó el agujero.
¿Por qué la red fue insegura durante dos años y nadie lo detectó? Porque OpenSSL, utilizado dos tercios de las conexiones a Internet seguras, es un proyecto voluntario que supervisan solo cuatro personas. Y, de esas cuatro personas, ninguna se dedica a tiempo completo a OpenSSL, a controlar que el candado de seguridad que aparece en los navegadores cuando conectamos con el banco o el email signifique realmente que la conexión es segura. Además, se financian a través de donativos que nadie estaba haciendo.
¿Lo sabía la NSA?
Cuando salió la noticia enseguida se empezó a pensar en quiénes podrían haber estado aprovechándose de la vulnerabilidad estos dos años. Los cibercriminales que la descubrieran, por supuesto, a quienes no les interesaba publicar que había un agujero en OpenSSL. Pero los otros sospechosos tienen una responsabilidad moral distinta: la Agencia de Seguridad Nacional de Estados Unidos (NSA), que podría haber estado aprovechándose también de Heartbleed para sus operaciones de espionaje. Y quizá ellos sí debieran haber advertido al mundo de que la seguridad de Internet estaba algo comprometida.
Pero ¿realmente habría usado Heartbleed la NSA? Hay quien asegura que realmente no es la vulnerabilidad más práctica y que en la NSA posiblemente tuviesen sus propios métodos de hackeo y espionaje al margen de este agujero. Al fin y al cabo, Heartbleed lo que permite es conseguir información que se está transmitiendo encriptada, pero sin saber qué es lo que se va a obtener. Pueden obtenerse nombres de usuarios y contraseñas, sí, pero también mucha paja que no sirva para ningún fin maléfico.
Lo que sí está claro es que en los últimos meses está empezando a quedar claro que Internet todavía no es tan seguro como creemos y que, conforme crece más y más, es cada vez un poco más vulnerable. “Heartbleed es solo una evidencia más de que no tenemos la casa en orden en lo que se refiere a la seguridad en Internet”, aseguró el experto en seguridad informática de la Universidad de Princeton Edward Felten, esta semana en declaraciones al New York Times.
¿Significa todo esto que lo único seguro es apagar el ordenador y cortar todos sus cables? No necesariamente. Los expertos ven también un lado positivo en todo lo que se ha empezado a hablar del tema, haciendo que los usuarios vayan poco a poco siendo cada vez más conscientes. Como aseguró Jen Weedon, experta en amenazas informáticas, esta semana, “ahora la gente normal habla de cómo reparar sus sistemas. Y eso es lo mejor que podemos esperar por ahora”.