A un mes del descubrimiento de Heartbleed, la falla en OpenSSL reportada por la empresa dedicada a la seguridad de la información Codenomicon, aún existen servidores vulnerables a ella – más de 300 mil. Además, muchísimos usuarios no han cambiado sus contraseñas a pesar de haber sido alertados, simplemente porque no están preocupados.
Ya se van a cumplir 40 días desde que Heartbleed dejó al descubierto información sensible de gran cantidad de sitios. El gran impacto que tuvo, al afectar a populares programas de código abierto como Apache o Nginx, hizo que su alcance fuera tan grande como el de dichos servidores y la convirtió en una de las vulnerabilidades más grandes jamás descubiertas en la historia de Internet.
La empresa Errata Security reportó que 300 mil servidores siguen siendo vulnerables luego de escanear millones de servidores de Internet a través del puerto 443, normalmente utilizado en comunicaciones que utilizan los protocolos TSL/SSL.
La pregunta obligada que debemos hacernos es ¿por qué teniendo tanta información sobre Heartbleed sigue habiendo servidores vulnerables? Los cibercriminales podrían explotar esta vulnerabilidad para atacar a los sitios que alojan y robar información sensible que, con sólo una actualización de software y cambiando contraseñas, dejaría de estar expuesta.
Según una encuesta realizada por Netcraft, Heartbleed afectó a más de la mitad de todos los sitios activos en Internet. Luego de que saliera a la luz, fue rápidamente remediada por la mayoría de ellos, ya que diversos medios de comunicación y sitios especializados divulgaron la vulnerabilidad y las medidas a ser tomadas para corregirla.
Las medidas de seguridad sugeridas a los administradores de sitios que utilizaban versiones vulnerables eran actualizar la versión de los mismos y además cambiar sus credenciales y certificados. Se recomendó también informar a los usuarios o clientes, en los casos necesarios, que cambiasen sus credenciales por prevención.
Pero una encuesta realizada por la empresa Lifelock reveló que más allá de todo lo que se publicó acerca de Heartbleed, el 47% de los usuarios que se enteraron de la vulnerabilidad no han cambiado sus contraseñas, quedando así potencialmente susceptibles a ataques. 44% de ellos no lo hicieron porque “no estaban preocupados” por el problema.
¿Acaso los efectos de Heartbleed no fueron suficientes para que se tome conciencia acerca de la importancia de las prácticas de seguridad?
El programador del código que llevó a esta vulnerabilidad, Robin Seggelmann, habló días después del descubrimiento de Heartbleed. Afirmó que fue un accidente, y que no fue programada deliberadamente.
“Sería mejor que más gente ayudara a mejorarlo”, dijo al sitio Mashable. “No importa si el apoyo viene desde compañías que se benefician con su uso, o de personas que ofrecen su tiempo libre. De todas formas, si todos siguen usándolo y pensando que alguien más eventualmente se va a encargar, no va a funcionar”.
Es interesante destacar la siguiente idea: Seggelmann dijo que “mientras más personas le presten atención, será menos probable que errores como este ocurran”.
Dos semanas después, el proyecto denominado Core Infrastructure Initiative fue anunciado: Linux Foundation, la organización dedicada a fomentar el crecimiento de Linux, anunció que en los próximos tres años se aportarán al menos 3.9 millones de dólares a diversos proyectos open source insuficientemente financiados, con OpenSSL a la cabeza.
Esto nos lleva una vez más a plantearnos que es difícil pedirles ciclos de pruebas veloces y constantes o revisiones de código con la misma eficiencia que tienen otros proyectos más grandes o mejor financiados. Es decir, ante la falta de inversión, desarrollos que no cuentan con grandes cantidades de dinero, recursos o un gran equipo de trabajadores, difícilmente den resultados perfectos: esto sería como pedirle peras al olmo.
Para más información acerca de Heartbleed y cómo estar protegidos, desde el Laboratorio de Investigación de ESET Latinoamérica hemos preparado un resumen en video.