Por: Jorge Flores (Eswerth).
Fuente y publicación original de El País.
El programa se llama Open SSL y el problema forma parte de su sistema desde diciembre de 2011. El agujero de seguridad está en el código fuente (los bloques de construcción que componen un programa informático) de sus versiones 1.0.1 a 1.0.1f. Ya existe una nueva versión lista para descargar que subsana el fallo: la 1.0.1g.
Los internautas de las páginas que utilizan este código habrían sido potencialmente vulnerables desde entonces. Y si alguien hubiera accedido a información confidencial, no habría dejado rastro. La vulnerabilidad fue descubierta en diciembre de 2013, y los expertos llaman a la calma porque no hay razones para suponer que la seguridad haya sido violada desde 2011.
Open SSL es un sistema de seguridad utilizado por algunas de las principales web que existen, y “entre el 50% y el 70%” de servidores según Igor Unanue, técnico de la empresa española de seguridad S21SEC. Ricardo Galli, fundador de Menéame, rebaja los servidores afectados a unos 500.000. Es gratuito y funciona como un paquete de herramientas que los servidores utilizan para cifrar la información que intercambian con los usuarios individuales, para que esta no pueda ser robada por terceros.
Open SSL es un programa de código abierto. Es decir, supuestamente cualquier programador puede participar en la escritura de su ADN, aunque eso no quiere decir que lo pueda alterar a voluntad como los artículos de Wikipedia.
Lo usan desde gigantes como Yahoo, Google, Facebook o Amazon, a la plataforma de juegos Steam, pasando por el software de conexión segura Tor. Potencialmente podría haber dejado sin cobertura de seguridad a millones de usuarios que almacenan los datos de sus tarjetas bancarias en páginas de pago, o que utilizan el email o los mensajes instantáneos.
El fallo puede incluso afectar a quien se conecte a su cuenta de banco por Internet, si usan este método de cifrado (existen otros), aunque Unanue recuerda que las entidades bancarias siempre utilizan sistemas de seguridad complementaria, independientes del cifrado de la contraseña. La Caixa afirmó ayer que sus servidores utilizan una versión diferente de Open SSL que no ha sido afectada.
Un portavoz de Yahoo ha explicado que la empresa ya solventó el problema en sus webs Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finanzas, Yahoo Deportes, el sitio de fotos Flickr y la de blogs Tumblr, y que están trabajando para subsanar el error en el resto de sus webs.
Google publicó que la vulnerabilidad ha afectado a los usuarios de Search, Gmail, YouTube, Wallet (que se utiliza para realizar pagos), Play (descarga de aplicaciones para Android), Apps, y App Engine (donde los desarrolladores suben sus aplicaciones), y también ha subsanado el bug.
Los afectados de mayor tamaño están parcheando (jerga para arreglos de código) el error, pero el alcance del fallo todavía se desconoce. El arreglo fue fabricado por Adam Langley, que trabaja como ingeniero en el desarrollo del navegador Chrome, de Google, y Bodo Möller, experto alemán en cifrado PGP, que trabaja para ACM, una sociedad informática dedicada a la divulgación.
El descubrimiento del problema fue realizado paralelamente por un técnico de Google llamado Neel Mehta y por una empresa finlandesa llamada Codenomicon.
La vulnerabilidad en el sistema podría haber afectado a unas 600 de las 10.000 páginas con más tráfico de la red, según un experto de la empresa Qualys citado por Associated Press. Eso supone “millones” de usuarios cuya información ha estado potencialmente expuesta, afirma Chema Alonso, experto en seguridad informática y consultor de Informática 64, una empresa española cuya seguridad también se ha visto afectada (y que ya ha arreglado el problema).
¿Cómo funciona el fallo? Open SSL es un programa de código abierto. Es decir, supuestamente cualquier programador puede participar en la escritura de su ADN, aunque eso no quiere decir que lo pueda alterar a voluntad como los artículos de Wikipedia. Roberto Velasco, cofundador de la empresa vasca de software Arima y de la de seguridad Hdiv, explica el “procedimiento habitual” en la escritura de código abierto. “Se utilizan repositorios de código fuente en Internet. El que más se usa se llama Git (Github.com), y sirve para almacenar proyectos. Cada proyecto tiene unos administradores que controlan la calidad del código. El usuario puede enviar trozos de código para introducir cambios, y si el administrador los acepta, los incluye en el código fuente final”.
Y si ese código tiene un fallo, puede crear una vulnerabilidad. “Una cosa es el bug, es decir, el fallo en el código, y otra es el exploit, la manera de sacar partido del fallo”, detalla Alonso. Hay páginas web donde se pueden conseguir exploits, programas que permiten sacar partido de las grietas de seguridad. Pero “no se conocen incidencias todavía”, explica con calma Unanue. Quiere decir que no se sabe de ningún criminal que haya aprovechado para obtener información de usuarios.
Esto no quiere decir necesariamente que los programas abiertos sean más proclives a estos fallos. Los expertos explican que por su naturaleza, existe un historial detallado de los cambios con el que se puede trazar cuándo se introdujo el error exactamente. Localizar al responsable es más complicado, ya que normalmente el programador no usa su nombre y puede que ni siquiera su IP (la “firma” electrónica) real.
0 comentarios:
Publicar un comentario