¿Qué fue Heartbleed?

La seguridad en internet es tan vulnerable como la seguridad de nuestras casas, solo hace falta un hueco por donde entrar.

En 2014 hubo un problema de seguridad que sacudió a todas las empresas o páginas web que utilizaban OpenSSL. Este gran bug (o agujero de seguridad) fue llamado Heartbleed (o hemorragia de corazón, en español).

El incidente fue descubierto por dos compañías, por separado, y estas fueron Google y Codenomicon. Un ingeniero de la empresa Codenomicon fue quien dio nombre al bug, y además creó el logo de Heartbleed, y como si fuera poco, creó la página web de Heartbleed.com con el fin de informar a las personas de este horroroso problema de seguridad. Aún se puede ingresar a dicha página web, todo el texto se encuentra en inglés.

heartbleed

Pasemos a explicar un poco el problema: Principalmente, hay que saber qué es OpenSSL. Las siglas SSL vienen de Secure Sockets Layer (Capa de conexiones seguras). OpenSSL es un conjunto de herramientas que administran estas capas de conexión segura, y que sirven a los navegadores y páginas web para crear conexiones seguras de tipo HTTPS, muy usadas para iniciar sesión en redes sociales o en páginas web que requieran un inicio de sesión. Es muy común ver como en la barra de direcciones del navegador, al lado del nombre de la página, hay un símbolo de un candado, y además dice https:// y no http://, esto significa que la conexión con esa página web es segura (o no tanto para ese momento) y muy probablemente usa OpenSSL.

Ahora, sabiendo que es esa herramienta tan nombrada que dio paso al gran incidente, veamos de qué trataba el problema como tal. El error en la biblioteca de OpenSSL permitía al atacante leer la memoria del servidor o del cliente, lo que daba paso para que obtuviera los datos de dicho cliente o servidor. Con cada ataque se podían obtener por lo menos 64 kilobytes de memoria del servidor, lo que significa bastante información, claves, datos personales, datos del servidor, datos del cliente, entre muchas otras cosas. ¿Puedes imaginar toda la información que fue robada a causa de esa vulnerabilidad? Bueno, eso no es todo, además de eso, el agujero de seguridad fue descubierto al menos 5 meses después de que muchos atacantes lo usaran. ¿Cuánta información se puede robar en 5 meses? Increíble la cantidad. Esta es la causa de todo el revuelo causado al descubrir dicho agujero de seguridad, tanto así que empresas de la talla de Amazon, Facebook, Google, IBM, Intel y Microsoft acordaron donar millones de dólares para un grupo llamado Core Infrastructure Initiative, que financiaría los programas de código abierto como OpenSSL.

¿Realmente era necesario un incidente a gran escala como éste para poder apoyar a proyectos como OpenSSL? ¡Déjanos tu opinión!

One Comment

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *