Como usuario habitual de Internet, espera que el entorno de Internet funcione. Todo lo que sucede detrás de escena, todo el cifrado, todos los apretones de manos y cada pequeña transacción deberían poder brindarle una forma segura de comunicarse y hacer negocios en línea sin tener que preocuparse por los piratas informáticos que merodean en cada uno de sus movimientos. Desafortunadamente, Internet no funciona así, y el error «Heartbleed» de OpenSSL es una prueba definitiva de ello. Hay algunas cosas que debes saber sobre este error porque, con toda probabilidad, te afecta más de lo que crees.
¿Qué es OpenSSL?
Bien, mencioné OpenSSL dos veces y ni siquiera te lo expliqué. ¿Ve el pequeño ícono de candado al lado de «https://» en su navegador cuando ingresa a sitios «seguros»? Se parece a esto en el navegador web Chrome de Google:
Cuando ve eso, está utilizando una forma especial de encriptación conocida como capa de conexión segura (SSL) o seguridad de la capa de transporte (TLS). Para brindar servicios con este cifrado, necesita un algoritmo que proporcione el cifrado/descifrado de los paquetes que intercambia con el servidor. Esto significa que necesitan tener una forma de traducir su texto a un galimatías ilegible y luego traducirlo de nuevo a la forma legible en su propio extremo. Usando esta tecnología, si un hacker de alguna manera logra interferir con su conexión al servidor, todo lo que leerá es una larga serie de balbuceos.
Ahora, llegamos a la parte (finalmente) donde explicamos qué es OpenSSL: es una implementación gratuita y de código abierto de los protocolos SSL/TLS. Con esta tecnología, cualquiera puede brindarle servicios encriptados. Muchas empresas con las que tiene cuentas pueden usar OpenSSL para cifrar sus datos.
Pero, ¿qué pasa si OpenSSL tiene un error que anula por completo el propósito del cifrado?
El error explicado
El 10 de abril de 2014, la gente de PerfectCloud, una empresa de seguridad de identidad, ha informó sobre un agujero masivo en la codificación de OpenSSL conocida como el error «Heartbleed». Durante dos años, no hemos visto una nueva versión de OpenSSL, y durante ese tiempo tuvo un problema en su código que expuso un poco de memoria del servidor. Este fragmento de memoria podría contener las claves privadas que se utilizan para cifrar/descifrar datos. ¡Ay!
Lo que esto significa es que un pirata informático podría descubrir las claves criptográficas del servidor y simplemente descifrar todo lo que le envíe, incluido su nombre de usuario, su contraseña y todo lo demás que es importante y querido para usted.
El error se solucionó el 7 de abril de 2014, pero eso no significa que todos hayan actualizado sus implementaciones de OpenSSL. Las principales compañías de Internet como Amazon y Yahoo se han ocupado del problema, ¡pero eso no significa que estés limpio! Un pirata informático podría tener su nombre de usuario y contraseña en una lista en este momento, listos para usar para intentar acceder a cualquier otra cuenta que pueda tener en otro lugar.
¿Qué debe hacer?
Por lo tanto, incluso si una empresa se actualiza a la última implementación de OpenSSL, todavía está en riesgo de exposiciones anteriores. Sin embargo, si hay más intentos de piratería, no tendrán éxito. Lo que puede hacer en esta situación es cambiar su contraseña en todas partes. No lo dejes esperar. Simplemente cambie todo para estar preparado si un hacker alguna vez decide probar sus cuentas.
¿Más pensamientos?
Este error simplemente muestra cuán delicada y entretejida es Internet. A pesar de su creciente conciencia sobre la seguridad y su genialidad no regulada, Internet sigue siendo Internet y siempre estará bajo asedio. ¿Qué recomendaciones tiene para las empresas que utilizan OpenSSL? ¿Cómo cambió su comprensión de los ecosistemas de seguridad? ¿Estás confundido acerca de algo? ¡Publique sus pensamientos sobre cualquier cosa relacionada con OpenSSL en el área de comentarios a continuación!