Google manda, y ahora impone conexiones seguras

En el mundo online los usuarios dependen en gran medida de un elemento: los buscadores. Son estos los que permiten que gran parte de los usuarios consigan llegar a las páginas web que quieren. Es por esto que quienes crean una página web quieren estar «amigados» con ellos y tratan de seguir sus «recomendaciones» que es lo que se engloba dentro de lo que se conoce como SEO (Search Engine Optimization o más entendible para los que no utilicen la lengua de Shakespeare, la Optimización para motores de búsqueda).

Dentro de los buscadores, Google es el que tiene una posición más dominante y es por eso que a todos les gusta llevarse bien con la gran G. Así pues los expertos analizan cada uno de los cambios y recomendaciones que este buscador ofrece, puesto que de el dependen en gran medida. Y ahora nos encontramos con que no es propiamente su algoritmo, pero si su navegador: Google Chrome el que aplica una nueva medida que puede afectar en gran medida a los que tienen una página web.

Y es que desde hace unos pocos días Google Chrome ha añadido un cambio por el cual, en la barra de navegación se nos mostrará una leyenda de «No seguro» y una advertencia cuando estemos navegando por una página web que solicite datos de acceso o bancarios y no utilice protocolos seguros (https). De esta forma Google quiere concienciarnos de cuando estamos exponiendo nuestra información y cuando la navegación es segura.

Por supuesto, los propietarios de las páginas web tienen que tener muy en cuenta este cambio, puesto que puede perjudicar la «confianza» que los usuarios depositen en sus páginas web al recibir esta advertencia.  Sin duda cabe, que cualquier página que maneje información sensible es recomendable que incluya un certificado seguro para garantizar la seguridad de la información. Así pues de esta forma Google ya no solo incluye en su algoritmo de búsquedas el criterio de si se trata de una página segura o no. sino que trata de informar a los usuarios directamente. Así pues mucho ojo, pues Google Chrome podría espantar a todos tus usuarios si no haces uso de cifrado seguro para intercambiar cierta información.

Heartbleed, o cuando el internet «seguro» dejó de serlo

¿No has oido hablar de Heartbled? Pues o no tienes Internet o sino es difícil de explicar que desconozcas por completo este nombre, que ha hecho temblar los cimientos de Internet. Y vamos a intentar explicar de forma lo más sencilla posible lo que esto implica.

¿Que es Heartbledd?

Heartbleed es el nombre que se le ha dado a un bug, considerado como el más grave hasta la fecha por las implicaciones que tiene. Y es que este bug afecta a la librería de criptografía OpenSSL muy extendida en internet (su uso se estima por encima del 50% de los sitios web) y por tanto a todos aquellos sitios web que intercambian información de forma segura (supuestamente) con el cliente. Concretamente esta librería se encarga de la desencriptación y encriptación de información crítica como puedan ser contraseñas, claves de acceso o certificados… en resumidas cuentas, toda aquella información que esperaríamos que nunca saliese a la luz.

heartbleed

¿Es un problema de protocolo?

En muchos lugares se ha mencionado que se trataba de un fallo del protocolo SSL/TSL  y de ahí su importancia. Pues bien, no es un fallo del protocolo, sino de la implementación realizada en la librería OpenSSL (el problema es que esta está muy extendida).

¿Como funciona Heartbleed?

Lo preocupante de este fallo, es que no requiere de acceso a información privilegiada o permisos de administración, sino que este bug queda expuesto por un desbordamiento de memoria, que permite acceder directamente a la memoria del servidor desde un cliente. Y todo ello, sin dejar rastro alguno.

Así pues si pensamos en servicios que hacen uso de SSL la cosa se pone delicada, correo electrónico, sitios de compras online, banca online, servicios de mensajería… 

¿Y ahora que?

Lo curioso de todo esto es que este bug aparece documentado ya en diciembre de 2011, y aún así a estas alturas estaba aún sin resolver (algo más de dos años después).

Y que podemos hacer los usuarios. ¿Cambiar las claves? En un principio es una medida de contención, pero no debemos olvidar que las claves privadas para su encriptado podrían haber sido también comprometidas, con lo cual eso no garantizaría un acceso no autorizado. Y los certificados digitales tampoco sirven como medida de salvaguarda, con la evidente incomodidad de tener que revocar las claves de encriptación (por complejidad y coste).

Y todo esto, sin que nadie nos pueda garantizar, que en todo este tiempo nuestra información haya podido estar al alcance de ojos indeseados… Vamos, que la red de redes lleva dos años sin ser tan segura como podríamos pensar (justo ahora que cada vez se popularizan los servicios de la nube, menudo varapalo).

Por supuesto, ahora que ha salido a la luz estas informaciones, muchos servidores están realizando actualizaciones y tratando de enmendar posibles agujeros de seguridad relacionados con este bug, así pues seguramente podríais estar recibiendo emails de los administradores de aquellos servicios que usáis informando al respecto.

Google aumenta la seguridad de sus certificados SSL

Recientemente Google anunció que a partir del 1 de agosto comenzaría a implementar claves de cifrado SSL de 2.048 bits. De esta forma, la compañía de Mountain View pretende aumentar de forma considerable la seguridad de todos sus servicios web. Este proceso, está previsto que finalice en este 2013 de forma que la implementación no genere conflictos que puedan complicar la vida de los usuarios.

Google, algo más que un buscador

Pero no solamente actualizará los claves de los certificados SSL de sus aplicaciones, sino que el certificado raiz también pasará a ser de 2.048 bits, de esta forma todos sus certificados SSL dejarán de utilizar la actual clave de 1.024 bits. Sin duda, es una demostración de la preocupación por la seguridad por parte de Google, y es que progresivamente los usuarios demandan una seguridad cada vez mayor a medida que los servicios ofrecidos por la compañía se vuelven más importantes. Sin duda, proteger la seguridad de las cuentas de sus usuarios es muy importante, y un fallo en ese sentido podría suponer un importante borron en la imagen de la compañía. Así pues, nos alegramos por este paso dado por Google y que pretende garantizar un poco más la seguridad de sus usuarios.