INTERNET Se trata de uno de los tres mayores fallos en la historia de la red
Un parche lento para el mayor agujero de seguridad de Internet
http://www.elmundo.es/tecnologia/2014/04/11/5346e48f268e3ed9588b458d.html?cid=SMBOSO25301&s_kw=facebookCMEn unos días abstenerse de usar Internet
Se trata de uno de los tres mayores fallos en la historia de la red
Un parche lento para el mayor agujero de seguridad de Internet
Google, Facebook, Yahoo, Wikipedia y PayPal usan el software cuestionado
En España hay servidores de infraestructuras críticas que tienen el fallo
El error es de diciembre de 2011 y el parche, de abril de 2014; son 27 meses en riesgo
MIGUEL ÁNGEL CRIADO Madrid
Actualizado: 11/04/2014 09:23 horas
0
En una escala del 1 al 10, la gravedad del fallo descubierto en las comunicaciones por Internet es de 9,3. Para muchos expertos, 'Heartbleed' (corazón sangrante, en inglés) es uno de los tres mayores errores en la historia de la red. Cientos de miles de servidores y, tras ellos, millones de usuarios, han visto comprometida su seguridad. Aunque ya hay un parche, se tardará tiempo en tapar el agujero.
Expertos en seguridad de Google y la compañía finlandesa Codenomicon descubrieron la semana pasada un 'bug' (un error de programación en la jerga informática), en OpenSSL. Este software permite la comunicación segura entre un usuario y el servidor de la página a la que se conecta. Ya sea en Facebook, el correo de Google o la cuenta del banco el mecanismo es el mismo: el servidor pide el nombre y clave de acceso y el programa la encripta para que nadie más la pueda ver.
Sin embargo, en la Nochevieja de 2011, uno de los programadores de OpenSSL le añadió una funcionalidad para que la conexión entre ambos extremos no exigiera tener que identificarse cada vez que se enviaba nueva información. Cada poco, el software envía una señal para indicar que la sesión sigue activa. Es ahí donde estaba el fallo. Con cada nueva señal, el servidor responde con parte de los datos que tiene en la memoria. "Te envía todo tipo de información aleatoria", explica David García de la consultora de seguridad informática Hispasec. Ellos han reproducido el fallo en su laboratorio y "con un poco de paciencia puedes secuestrar la sesión de otros usuarios", añade.
La gravedad del fallo es doble. Por un lado, permite a un tercero capturar las claves privadas que usan tanto servidores como usuarios para sus comunicaciones seguras. Por otro, aunque OpenSSL no es el único software para cifrar las conexiones, sí es uno de los más usados. Expertos han estimado que de los 28 millones de servidores que usan sistemas de cifrado, casi 900.000 funcionaban con una de las versiones de OpenSSL que tenían el bug.
Pero más que la cantidad, importa la calidad. Google, Facebook, Yahoo, la pasarela de pago PayPal, la Fundación Wikimedia, responsable de la Wikipedia, y un largo etcétera de empresas de Internet usan OpenSSL. Todas han anunciado que ya han solucionado su problema. Y es que, al mismo tiempo que se conocía la existencia del fallo, los autores del software publicaron un parche para repararlo.
La principal recomendación, cambiar las contraseñas
"En España hay servidores de infraestructuras críticas que tienen el fallo", asegura el experto en seguridad informática de Eleven Paths, Chema Alonso. Entre los sectores afectados estaría el de la energía y el de la banca. La web segura del Consejo de Seguridad Nuclear (CSN), por ejemplo, ayer no parecía tan segura. Cotejando su dirección web con una de las herramientas que detectan si un servidor contiene el fallo o no, la página lanzaba una alerta. Pero a lo largo del día, los técnicos del CSN parchearon sus servidores. En cuanto a los bancos, ADICAE, la asociación de usuarios de banca, denunciaba ayer que los servicios de banca online de al menos Banco Sabadell, Openbank y Caja 3 eran vulnerables a Heartbleed.
Los expertos reconocen que están trabajando estos días como nunca implantando el parche. Las grandes empresas son las primeras interesadas en tenerlo por su seguridad, la de sus clientes, y por una cuestión de imagen. El problema es que actualizar el software de todos los servidores lleva su tiempo. "La actualización es manual, tiene que hacerla el administrador del sistema servidor a servidor", explica Josu Franco de Panda Security. Por eso, los expertos creen que, aunque los grandes de Internet y las principales compañías tendrán el problema solucionado en unos días, habrá muchos "que ni se enteren", añade Franco.
De hecho, las empresas de seguridad han detectado una gran actividad en los foros más oscuros de la red. "Ya hay herramientas que automatizan el proceso para obtener toda la información, alerta Chema Alonso. Es lo que en el mundo de la seguridad llaman 'script kiddies', algo así como programas para niños, que puede usar cualquiera. Estos mismo expertos temen una avalancha de intentos de aprovecharse de 'Heartbleed'. Por eso urgen a las empresas a actualizar el software OpenSSL y a los usuarios, mucha precaución en estos días. Algunos, como los responsables del proyecto de navegación segura Tor, han llegado a pedir que no se navegue por la red en unos días.
La principal recomendación para los usuarios es cambiar las contraseñas de todos los servicios que les exijan identificarse. Y eso incluye todas sus cuentas de correo, redes sociales, de banca online pero también de todas y cada una de las aplicaciones que tienen en el móvil. "Pero que no se les ocurra hacerlo hasta que estén seguros de que la empresa o el servicio al que se conectan han reparado el fallo", recuerda García de Hispasec. Y es que, si los servidores siguen siendo vulnerables, nada impide que un delincuente informático obtenga la nueva clave. El problema aquí es que, salvo unos cuantos comunicados genéricos como el de Google o el de PayPal, las empresas no están avisando a sus usuarios, uno por uno, de que ya pueden cambiar sus contraseñas.
Eso les protegerá para el futuro pero nada les salvará del pasado. El fallo es de diciembre de 2011 y el parche de abril de 2014. Son 27 meses durante los que Internet ha tenido este enorme agujero. "Su descubrimiento lo han anunciado investigadores del lado bueno", recuerda Franco, de Panda Security, pero nadie sabe con seguridad si alguien ya lo conocía y se ha aprovechado. Como bromea Alonso, de Eleven Paths, "es del tipo de vulnerabilidad que si yo la hubiera descubierto no la habría desvelado".
'Heartbleed', por tanto, lo han podido usar para robar datos personales y hasta dinero de las cuentas bancarias. Y eso alguien lo tendrá que pagar. "Las empresas son responsables de la custodia de los datos confidenciales de sus clientes", recuerda la abogada Natalia Esteban-Zazo, de la empresa de seguros de protección jurídica DAS Internacional. Su consejo a los usuarios es que acudan a las compañías y servicios para asegurarse de que no usaban este software en sus comunicaciones. Y si lo hacían, exigir un reclamación en el caso de que se hayan visto perjudicados.