Lo que Heartbleed dice de la seguridad de Internet

Caos. Pesadilla. El fin de Internet. Las reacciones exageradas que pronosticaban una especie de apocalipsis internauta llenaron los titulares de muchos medios generalistas esta semana, todo desde que se descubrió Heartbleed, la vulnerabilidad que afectó a OpenSSL, el protocolo de encriptación más popular (lo usan dos tercios de las webs), y que según parece estuvo así sin que nadie se diese cuenta durante dos años. Dos años en los que los hackers que lo descubrieran podrían haber estado recolectando nombres de usuarios y contraseñas con total tranquilidad e impunidad.

Enseguida hubo que tranquilizar un poco a la gente y dejar de ver esos escenarios en los que Internet se rompe: Heartbleed es algo serio, muy serio, incluso, pero una vez descubierto se puede arreglar. Además, no se sabe hasta qué punto la vulnerabilidad fue explotada por cibercriminales (¿la conocían o había pasado desapercibida, como le pasó a todo el mundo?).

Lo preocupante de Heartbleed no es tanto qué información haya podido resultar comprometida en particular, sino lo que dice de la seguridad de Internet en general: se trata de una vulnerabilidad introducida en OpenSSL (ese candado que aparece cuando estamos en una conexión “segura” en el que todo el mundo confiaba) en la Nochevieja de 2011. Lo hizo uno de los voluntarios de OpenSSL que en teoría estaba mejorando el código, pero su código tenía una errata de la que nadie se dio cuenta hasta esta semana. Y esa errata creó el agujero.

¿Por qué la red fue insegura durante dos años y nadie lo detectó? Porque OpenSSL, utilizado dos tercios de las conexiones a Internet seguras, es un proyecto voluntario que supervisan solo cuatro personas. Y, de esas cuatro personas, ninguna se dedica a tiempo completo a OpenSSL, a controlar que el candado de seguridad que aparece en los navegadores cuando conectamos con el banco o el email signifique realmente que la conexión es segura. Además, se financian a través de donativos que nadie estaba haciendo.

¿Lo sabía la NSA?

Cuando salió la noticia enseguida se empezó a pensar en quiénes podrían haber estado aprovechándose de la vulnerabilidad estos dos años. Los cibercriminales que la descubrieran, por supuesto, a quienes no les interesaba publicar que había un agujero en OpenSSL. Pero los otros sospechosos tienen una responsabilidad moral distinta: la Agencia de Seguridad Nacional de Estados Unidos (NSA), que podría haber estado aprovechándose también de Heartbleed para sus operaciones de espionaje. Y quizá ellos sí debieran haber advertido al mundo de que la seguridad de Internet estaba algo comprometida.

Pero ¿realmente habría usado Heartbleed la NSA? Hay quien asegura que realmente no es la vulnerabilidad más práctica y que en la NSA posiblemente tuviesen sus propios métodos de hackeo y espionaje al margen de este agujero. Al fin y al cabo, Heartbleed lo que permite es conseguir información que se está transmitiendo encriptada, pero sin saber qué es lo que se va a obtener. Pueden obtenerse nombres de usuarios y contraseñas, sí, pero también mucha paja que no sirva para ningún fin maléfico.

Lo que sí está claro es que en los últimos meses está empezando a quedar claro que Internet todavía no es tan seguro como creemos y que, conforme crece más y más, es cada vez un poco más vulnerable. “Heartbleed es solo una evidencia más de que no tenemos la casa en orden en lo que se refiere a la seguridad en Internet”, aseguró el experto en seguridad informática de la Universidad de Princeton Edward Felten, esta semana en declaraciones al New York Times.

¿Significa todo esto que lo único seguro es apagar el ordenador y cortar todos sus cables? No necesariamente. Los expertos ven también un lado positivo en todo lo que se ha empezado a hablar del tema, haciendo que los usuarios vayan poco a poco siendo cada vez más conscientes. Como aseguró Jen Weedon, experta en amenazas informáticas, esta semana, “ahora la gente normal habla de cómo reparar sus sistemas. Y eso es lo mejor que podemos esperar por ahora”.

Ana Bulnes

Periodista fascinada por el mundo, la tecnología, los libros, las series y la música. Puedes seguirme en Twitter, Facebook e Instagram.

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago