¿No has oido hablar de Heartbled? Pues o no tienes Internet o sino es difícil de explicar que desconozcas por completo este nombre, que ha hecho temblar los cimientos de Internet. Y vamos a intentar explicar de forma lo más sencilla posible lo que esto implica.
¿Que es Heartbledd?
Heartbleed es el nombre que se le ha dado a un bug, considerado como el más grave hasta la fecha por las implicaciones que tiene. Y es que este bug afecta a la librería de criptografía OpenSSL muy extendida en internet (su uso se estima por encima del 50% de los sitios web) y por tanto a todos aquellos sitios web que intercambian información de forma segura (supuestamente) con el cliente. Concretamente esta librería se encarga de la desencriptación y encriptación de información crítica como puedan ser contraseñas, claves de acceso o certificados… en resumidas cuentas, toda aquella información que esperaríamos que nunca saliese a la luz.
¿Es un problema de protocolo?
En muchos lugares se ha mencionado que se trataba de un fallo del protocolo SSL/TSL y de ahí su importancia. Pues bien, no es un fallo del protocolo, sino de la implementación realizada en la librería OpenSSL (el problema es que esta está muy extendida).
¿Como funciona Heartbleed?
Lo preocupante de este fallo, es que no requiere de acceso a información privilegiada o permisos de administración, sino que este bug queda expuesto por un desbordamiento de memoria, que permite acceder directamente a la memoria del servidor desde un cliente. Y todo ello, sin dejar rastro alguno.
Así pues si pensamos en servicios que hacen uso de SSL la cosa se pone delicada, correo electrónico, sitios de compras online, banca online, servicios de mensajería…
¿Y ahora que?
Lo curioso de todo esto es que este bug aparece documentado ya en diciembre de 2011, y aún así a estas alturas estaba aún sin resolver (algo más de dos años después).
Y que podemos hacer los usuarios. ¿Cambiar las claves? En un principio es una medida de contención, pero no debemos olvidar que las claves privadas para su encriptado podrían haber sido también comprometidas, con lo cual eso no garantizaría un acceso no autorizado. Y los certificados digitales tampoco sirven como medida de salvaguarda, con la evidente incomodidad de tener que revocar las claves de encriptación (por complejidad y coste).
Y todo esto, sin que nadie nos pueda garantizar, que en todo este tiempo nuestra información haya podido estar al alcance de ojos indeseados… Vamos, que la red de redes lleva dos años sin ser tan segura como podríamos pensar (justo ahora que cada vez se popularizan los servicios de la nube, menudo varapalo).
Por supuesto, ahora que ha salido a la luz estas informaciones, muchos servidores están realizando actualizaciones y tratando de enmendar posibles agujeros de seguridad relacionados con este bug, así pues seguramente podríais estar recibiendo emails de los administradores de aquellos servicios que usáis informando al respecto.