HEARTBLEED, CUANDO LAS CLAVES DE ACCESO NO SIRVEN DE NADA

La historia comienza en 2012, cuando se publica una nueva versión de OpenSSL.  ¿Y qué es eso del OpenSSL? Pues básicamente es un paquete de herramientas dirigidas a la criptografía, que los desarrolladores pueden utilizar, por ejemplo, para asegurar el acceso de páginas web.

Muchas empresas del mundo lo utilizan, algunas tremendamente populares (luego veremos una lista). Y es aquí cuando comienzan los problemas, pues se detecta un agujero de seguridad en el paquete (lo que comúnmente se denomina "exploit" tipo 0day, o sea, DESCONOCIDO). Ese agujero de seguridad le permitía a cualquier pirata informático, entrar como Pepe por su casa en cualquier sistema en el que se hubiera utilizado el OpenSSL, incluyendo correos electrónicos y programas de mensajería.  Si tenemos en cuenta que el error se descubrió hace solamente unos días, y que el agujerillo ha estado abierto durante un año... el desastre está servido.

Y es aquí cuando comienzan, además, los rumores conspiranoicos, que en el mundo de la seguridad informática, a veces están muy cerca de la realidad. Y es que se comenzó a esparcir  el mensaje de que ese agujero de seguridad había sido encargado por la NSA (Agencia de Seguridad Nacional de EE.UU). El informático que metió la gamba, cuyo anonimato se ha respetado por seguridad,  lo ha desmentido en el periódico Der Spiegel, y ha reconocido que se olvidó de depurar un procedimiento. Pero la polémica está servida, sobre todo después de los últimos escándalos de espionaje protagonizados por dicha agencia de seguridad. Es difícil creer en la buena voluntad de la agencia, cuando ya se han destapado casos en que utilizó agujeros de seguridad del Windows  para atacar sistemas informáticos en Irán.   Con ese agujero en las manos, la NSA hubiera podido acceder a millones de correos de todo el mundo. Hubieran podido entrar sin dejar rastro. De hecho, a día de hoy es imposible saber si algún pirata haya podido acceder a donde no debía, dado que si tomó la precaución de no romper nada... no hay prueba alguna de su paso.  Ni siquiera la famosa Deep Internet ha estado a salvo, y la alarma ha corrido entre los usuarios de Tor, aconsejándose que durante unos días no se entrara en la red.

Oficialmente, las empresas afectadas ya han cerrado el agujero de seguridad con un parche pero, como se suele decir: "A buenas horas, mangas verdes". Y no es que ellos hayan tenido esta vez la culpa, pues el regalo envenenado les ha caído involuntariamente y sin saberlo. Simplemente esto es una prueba de que Internet se ha vuelto tan complejo que ya ni los grandes expertos en seguridad están a salvo de sufrir un agujero desconocido.

Por si a alguien le asusta el tema y desea cambiar sus claves de acceso (aunque ya lleven un año sin seguridad alguna), aquí os proporciono una lista de las empresas afectadas:

• Facebook (no lo han reconocido, pero hay sospechas).
• Instagram.
• Pinterest.
• Tumblr.
• Twiter (al igual que Facebook, hay sospechas, pero no han dicho nada).
• Google.
• Yahoo.
• Gmail.
• Yahoo Mail.
• Etsy.
• GoDaddy.
• Box.
• DropBox.
• Minecraft.
• Netflix (sospechas, pero sin confirmar).
• SoundCloud.
• Wordpress (sospechas, pero sin confirmar).