Hace más de dos años, un informático introdujo una par de nuevas funciones en OpenSSL, una librería de encriptación usada por una gran cantidad de páginas web. Ahora, se descubrió un «bug» responsable del mayor fallo de seguridad de internet que fue creado durante esa adición de funciones. Por tanto, si ese agujero existía desde finales de 2011, ¿cómo es posible que no se haya producido un masivo ataque a páginas vulnerables? ¿Es de verdad tan grave como se ha contado?
Según señala The Sydney Morning Herald, el informático Robin Seggelmann fue el encargado en introducir nuevas características que fueron lanzadas en el OpenSSL 1.0.1 en 2012. OpenSSL, realizado para garantizar la seguridad de los datos se volvió en una herramienta peligrosa, gracias a este nuevo «bug», que ponía en riesgo información clave compartido a través de las páginas que lo utilizaran.
Seggelmann se ha defendido y ha dicho que él no introdujo deliberadamente. El informático alemán declaró que «desafortunadamente» la vulnerabilidad se le escapó a él y a quien debía revisar su trabajo. Apuntó en dicha entrevista que después de que él presentó el código, el error se deslizó debajo de la vista del supervisor «y se abrió camino a través de la rama de desarrollo del lanzamiento de la versión». Quien tuvo que revisar el proceso fue Stephen Henson.
Seggelmann considera que el fallo en realidad es «trivial» pero que sus efectos, por otro lado, son gravísimos. Apuntó que dicho fallo fue introducido en el código como un error y que no fue intencionado. «No hubo intencionalidad en lo absoluto, sobre todo porque yo mismo me había fijado en otros fallos de OpenSSL, estaba tratando de contribuir al proyecto», dijo al «Herald de Sidney».
El HeartBleed (corazón sangrante) se aprovecha de una vulnerabilidad del OpenSSl ubicada en la función HeartBeat (latido de corazón), de ahí su nombre. HeartBeat fue introducida por Seggelmann y permite, según relata The Register, que los datos sean enviados de un extremo a otro de la conexión y que se cree una copia exacta de los mismos para verificar la seguridad de la conexión.
El error ocasiona que el servidor envíe datos fuera de la memoria en vez de enviar la copia exacta. Es decir, el servidor «sangra» información extra después de recibir los datos, según informa el medio Business Insider.
¿Cómo enfrentarlo?
El pasado 7 de abril se publicó la versión de OpenSSL 101g, la más actualizada hasta el momento, la cual corrige este fallo de seguridad. Se puede descargar desde la página oficial de OpenSSL aquí.
Si quiere saber si la versión OpenSSL que utiliza una página en línea específica es vulnerable frente a esta amenaza, puede realizarle un Heartbleed test en esta dirección: www.filippo.io/Heartbleed/
Fuentes: Abc.es/El Tiempo.