Hace pocos días les contábamos acerca de Heartbleed, la falla de seguridad en OpenSSL que dejó al descubierto información sensible de millones de sitios. Robin Seggelmann, el programador que escribió el código que llevó a esta vulnerabilidad, dijo al Sydney Morning Herald que el catastrófico resultado fue un accidente.
Heartbleed es una vulnerabilidad en OpenSSL, el cifrado que muchos sitios utilizan para asegurar que las comunicaciones no sean interceptadas. Una encuesta realizada por Netcraft indicó que el market share de Apache y Nginx, servidores afectados por la falla que implementan OpenSSL por defecto, representa aproximadamente el 66% de los sitios activos en Internet, lo cual representa la dimensión del alcance de este acontecimiento.
OpenSSL es un software gratuito, lo cual lo vuelve atractivo para diversos servicios.
“Sería mejor que más gente ayudara a mejorarlo”, dijo Seggelmann al sitio Mashable. “No importa si el apoyo viene desde compañías que se benefician con su uso, o de personas que ofrecen su tiempo libre. De todas formas, si todos siguen usándolo y pensando que alguien más eventualmente se va a encargar, no va a funcionar. Mientras más personas le presten atención, será menos probable que errores como este ocurran”, comentó.
Al momento, gran parte de los sitios afectados han parcheado la falla. Pero el asunto de Heartbleed pone sobre la mesa el debate en relación a dónde recaen ciertas responsabilidades respecto al software de código abierto. El hecho de que herramientas como OpenSSL se utilicen cada vez más, puede llevar a una disparidad entre la cantidad de servicios que lo utiliza y la cantidad que contribuye a mejorarlo.
¿Hasta dónde llega el efecto de Heartbleed?
OpenSSL también se utiliza en otros lugares, incluyendo hardware como routers y switches. Varios proveedores han publicado alertas de seguridad, revelando que algunos de sus productos podrían haber sido afectados por Heartbleed, o prometiendo investigar para ofrecer las actualizaciones correspondientes.
Por ejemplo, Cisco aseguró estar investigando su línea de productos para determinar si alguno fue afectado, y lanzará actualizaciones gratuitas para solucionar la falla. F5 Networks dice que algunos de sus servidores virtuales con un perfil específico de SSL son vulnerables, al igual que interfaces de administración. Sus clientes pueden actualizarse a las versiones que se comprobaron como no vulnerables a Heartbleed.
Por su parte, Juniper Networks ha publicado una lista de productos vulnerables, no vulnerables y en investigación. Está trabajando en proveer versiones arregladas del código para sus productos.
En algunos casos, tener hardware vulnerable puede ser tan grave como tener servidores vulnerables, ya que los cibercriminales podrían utilizar Heartbleed para infiltrarse en una red más amplia.