El 7 de abril se detectó una de las fallas más importantes en la historia de internet, en la seguridad de las conecciones vía OpenSSL, y se la llamó Heartbleed –en inglés, sangrado de corazón– como un juego de palabras de la extensión en la que se encontró el problema, llamada Heartbeat (latido).
¿Qué es y qué afecta?
Al nivel más llano posible de explicación, podemos decir que OpenSSL es un paquete de herramientas que permite brindar seguridad diversas aplicaciones; la que más nos interesa está relacionada con conexiones seguras vía navegador web. Cuando navegamos una página segura, notaremos -y si no lo hicimos, podemos comenzar a prestarle atención- que el ícono al lado de la dirección muestra un candado, y la dirección web comienza con https, en vez del simple http. Esa s nos indica que es una conexión segura. Si utilizamos el home banking, facebook, gmail, o muchas aplicaciones que requieran contraseña, muy probablemente estemos haciendo uso de OpenSSL por detrás.
La falla, a grandes rasgos, permite a usuarios malintencionados leer información que les allanaría el camino para vulnerar tanto el usuario de estas conexiones, como al mismo servidor que las presta. Esta no es una noticia más, realmente es un agujero de seguridad importantísimo que puede afectarnos a todos -o ya nos puede haber afectado-.
Un ejemplo: la famosa Agencia de Seguridad Nacional de EEUU (NSA por sus siglas en inglés) sabía de esa falla -presente desde 2011-, y podría haberla usado para espiar valiosa información de innumerables personas.
Adicionalmente, existen muchos dispositivos de hardware que han sido afectados por esta falla, incluyendo routers y demás elementos de red. Las empresas han subido listados de estos productos (en este enlace podemos ver los de Cisco, por ejemplo), de manera que podemos verificar si tenemos algo que necesite una actualización.
¿Cuál es la situación hoy?
El problema fue resuelto rápidamente, y gran parte de los servidores ya aplicó los parches correspondientes. Sin embargo, las compañías más importantes están sugiriendo enfáticamente a todos sus clientes que cambien sus contraseñas. La mayoría asegura que los datos no han sido vulnerados, pero que sería una buena medida de seguridad.
Marcos Tonina para PortalLarroque.com.ar