Las ondas sísmicas del ‘terremoto Heartbleed’ aún sacuden la Red

Usuarios confundidos porque nadie les avisa de si deben cambiar las contraseñas. Administradores divididos sobre si seguir usando OpenSSL. Programadores replanteándose cómo debe auditarse el “software” libre. Discusiones bizantinas por si los servicios secretos norteamericanos sabían antes que nadie que existía el fallo. Más discusiones bizantinas, en la comunidad de seguridad, sobre si la gravedad de “Heartbleed” es media o alta. La red Tor, tambaleándose. Dos semanas después de que el mundo conociese la existencia de un grave error en la principal herramienta que cifra comunicaciones y contenidos de Internet, sólo hay algo claro: que las grandes compañías de la red entonan el “mea culpa” y ponen dinero para mejorar OpenSSL. 

El mayor damnificado por el agujero de seguridad ‘Hearbleed’, descubierto en diciembre y hecho público recientemente, ha sido el propio OpenSSL. El ‘gurú’ Robert Graham lo ha llamado “spaguetti code” , aunque ha defendido a quienes lo han creado. Otro peso pesado, Theo de Raadt, fundador del sistema operativo libre OpenBSD en 1995, lo ha calificado de “caos” con “miles de líneas de código superfluas” y no ha querido usarlo ni un minuto más: el equipo de OpenBSD ha creado un “fork” (un nuevo proyecto basado en otro) de OpenSSL llamado LibreSSL que está despertando gran interés.

Steve Marquess, líder del Proyecto OpenSSL, no ha querido hacer comentarios sobre LibreSSL. Ha preferido dirigir sus iras contra las empresas, como escribía en su blog : “Os miro a vosotras, compañías del Fortune 1000, las que tenéis OpenSSL en vuestros productos de seguridad, financieros, en la nube o cortafuegos, que vendéis o usáis para asegurar vuestras infraestructuras y comunicaciones. Las mismas que no tenéis que pagar a un equipo de programadores para pelearse con el código criptográfico y que nos agobiáis pidiendo consultorías gratuitas cuando no sabéis cómo usarlo. Las mismas que nunca habéis movido un dedo para contribuir a la comunidad libre que os ha hecho este regalo. El misterio es que esto no haya pasado antes”.

‘Heartbleed’ ha puesto sobre la mesa una realidad hacia la que muchos no querían mirar: la precariedad en la que sobreviven la mayoría de proyectos de “software” libre, basados en las donaciones y el voluntariado, prácticamente sin presupuesto y con poco tiempo para las tareas alejadas del día a día de añadir código, como la delicada tarea de auditar los programas resultantes . Esos programas que usan las empresas a coste 0 y sin obligación de invertir en el proyecto, presuponiendo además que el producto resultante es perfecto. Como explica Miguel López en Genbeta: “OpenSSL lo ha estado manteniendo un solo programador trabajando a jornada completa y con un apoyo en donaciones de 2.000 dólares al año”.

Como respuesta, la Fundación Linux ha puesto en marcha la Iniciativa Infraestructura Central (Core Infrastructure Initiative) que ha conseguido cuatro millones de dólares en donaciones de Google, Facebook, Microsoft, Amazon, Rackspace, Cisco, Dell, Fujitsu, IBM, Intel, NetApp y VMware. Con este dinero se financiarán, los próximos tres años, los proyectos libres que quieran auditar su código y la mayor parte del dinero se destinará a OpenSSL. Según el líder de OpenSSL, el proyecto debería tener seis personas trabajando a tiempo completo.

En cuanto a las repercusiones en el mundo de la seguridad, desde que “Heartbleed” se hizo público hace dos semanas se han conocido unos pocos ataques que lo explotaban. Destacan uno contra la Canada Revenu Agency, destinado a robar datos de empresarios y empresas, relacionados con el pago de impuestos. Y otro que quería violar la red privada virtual de una corporación cuyo nombre no ha trascendido.

Un problema añadido para las empresas es que, si debido a “Heartbleed” sufren un robo de datos de sus clientes, las autoridades de protección de datos pueden multarlas. Según el abogado David Maeztu, es un riesgo a tener en cuenta: “El administrador debe comprobar si su sitio tiene este defecto o no y en su caso aplicar el parche o remedio correspondiente. En caso de no hacerlo y sufrir una denuncia por un robo de datos, la Agencia podría iniciar un procedimiento de inspección”. Según la Ley de Protección de Datos, sería una infracción grave y podría costar a la empresa entre 60.000 y 300.000 euros de multa.

La red Tor ha sido otro damnificado de “Heartbleed”. Tor permite usar los servicios de Internet de forma anónima y todos sus servicios usan cifrado, OpenSSL mayoritariamente. Era cuestión de probabilidades que “Heartbleed” atacase con más fuerza a Tor que a Internet, y así ha sido: nodos, programas y servicios de esta red, entre ellos el cliente Orbot para acceder a Tor con Android, estaban afectados. Según Ars Technica, aunque se ha trabajado rápido y la infraestructura central de Tor ya está libre de peligro, el 10% de la red (586 nodos) aún es vulnerable: “Muchos servidores que están en países que censuran fuertemente Internet no han sido “parcheados”, estos sistemas son operados por voluntarios y funcionan sin supervisión”.