Hace varias semanas, Internet se conmocionaba debido al descubrimiento de una vulnerabilidad muy grave en uno de los programas clave para el funcionamiento de muchas de las páginas web y servicios que hay en la red: OpenSSL. Al parecer, se conocía una forma de atacar las versiones vulnerables (que eran todas, en aquél entonces) con el fin de tomar el control el equipo atacado. Incluso se le puso un nombre al fallo, teniendo en cuenta su importancia, Heartbleed.
Desde entonces, muchas empresas y administradores de redes y equipos se han tenido que poner manos a la obra lo más rápido posible con el fin de actualizar las versiones y, por lo tanto, arreglar el desaguisado. Sin embargo, no todos los servidores han sido puestos al día. Debemos tener en cuenta que en Internet existen millones y millones de equipos informáticos, por lo que actualizarlos todos es una tarea titánica que llevará mucho tiempo.
Lo que sí podemos hacer es conocer el número de equipos que aún son vulnerables. Todo ello gracias Robert David Graham, un investigador de seguridad que ha estado comprobando cuántos ordenadores tienen aún el problema. Tal y como afirma en su blog, actualmente hay 318.239 máquinas vulnerables. Es decir, en apenas 30 días se ha arreglado el problema en aproximadamente 600.000 equipos. Debemos tener en cuenta que, cuando se anunció el fallo, fueron muchas las personas que corrieron a actualizar OpenSSL, ya que el parche que lo solucionaba no tardó mucho en estar disponible.
¿Qué pasará, de ahora en adelante?
Heartbleed ha sido, si no la vulnerabilidad más grave encontrada en toda la historia de Internet, sí una de las más complicadas, ya que pone en completo riesgo los equipos involucrados. Por el momento hay varias soluciones. Una de ellas es actualizar OpenSSL. Aunque también hay que saber que algunos desarrolladores ya han creado sus propios forks, aprovechando que el código del paquete es libre.
Recientemente también se ha desvelado que el fallo que estamos comentando no era el único grave que existe en el paquete. Si le echamos un vistazo al código, veremos que existen varias decenas de problemáticas que no sólo ponen en riesgo páginas web, sino también routers, sistemas de acceso o cuentas de usuario. En definitiva, todo Internet. Está claro que poco a poco este tipo de inconvenientes se irán solucionando por lo que, si sois administradores de algún sistema, os recomendamos que tengáis mucho cuidado.
Pasarse a una alternativa
Los forks (por ejemplo, LibreSSL) también son una buena solución para evitar arriesgar nuestros sistemas a visitantes no deseados. No estamos diciendo que estos otros paquetes sean perfectos, pero pueden suponer una buena alternativa a OpenSSL. La decisión, en definitiva, es vuestra. Sois los encargados de instalar el paquete que más seguro os parezca.
Heartbleed es una de las vulnerabilidades más graves que se han encontrado. Y lo peor es que aún existen miles de ordenador afectados. Está claro que durante las próximas semanas deberemos tener mucho cuidado en Internet, ya que no sabemos si estaremos conectándonos a un equipo con el conocido problema. La precaución, sin duda, será una de vuestras mejores armas.
Vía | Errata Security
Fotos | FlickR, FlickR
En Xataka On | Los grandes de Internet acuerdan financiar OpenSSL tras HeartBleed
