INICIO FOROS ÍNDICES DIVISAS MATERIAS PRIMAS CALENDARIO ECONÓMICO

Autor Tema: Una grieta en la seguridad de la Red  (Leído 141 veces)

Eguzki

  • Socio Foxinver
  • Excelente participación
  • ***
  • Mensajes: 26.157
  • Karma: +0/-1
Una grieta en la seguridad de la Red
« en: Abril 10, 2014, 07:31:03 am »
Un error en uno de los principales programas de conexión segura utilizado en Internet ha tenido potencialmente expuestos a millones de usuarios desde hace dos años. El lunes, Google difundió un punto díébil en el sistema de cifrado que utiliza para sus conexiones seguras, llamado OpenSSL, que tambiíén ha afectado a gigantes como Yahoo y Amazon. Esta grieta, existente desde 2011 y descubierta en diciembre de 2013 por un tíécnico de Google, podrí­a haber permitido a hackers robar contraseñas de los usuarios.

El problema afecta a las conexiones seguras, las que comienzan con “https” y aparecen en la barra de direcciones cuando el usuario introduce datos delicados, habitualmente contraseñas. El fallo ha sido bautizado en inglíés como Heartbleed, o “corazón sangrante”, porque afecta a un tipo de intercambio de información en web, el Heartbeat (latido de corazón).

El agujero de seguridad está en el código fuente (los bloques de construcción que componen un programa informático) de las versiones 1.0.1 a 1.0.1f de OpenSSL. Ya existe una nueva versión lista para descargar que subsana el fallo: la 1.0.1g. Los internautas de las páginas que utilizan este código habrí­an sido potencialmente vulnerables desde 2011. Y si alguien hubiera accedido a información confidencial, no habrí­a dejado rastro. Pero los expertos llaman a la calma porque no hay razones para suponer que la seguridad haya sido violada desde entonces.

Open SSL es un sistema de seguridad utilizado por algunas de las principales web que existen, y “entre el 50% y el 70%” de servidores según Igor Unanue, tíécnico de la empresa de seguridad S21SEC. Ricardo Galli, fundador de Meníéame, rebaja los servidores afectados a unos 500.000. Es gratuito y funciona como una herramienta que las web utilizan para cifrar la información que intercambian con los usuarios individuales, para que esta no pueda ser robada por terceros.
Lo usan desde Yahoo, Google, Facebook o Amazon, a la plataforma de juegos Steam, pasando por el software de conexión segura Tor. Potencialmente podrí­a haber dejado sin cobertura de seguridad a millones de usuarios que almacenan los datos de sus tarjetas bancarias en páginas de pago, o que utilizan el e-mail o los mensajes instantáneos.

El fallo puede incluso afectar a quien se conecte a su cuenta de banco por Internet, si usan este míétodo de cifrado (existen otros), aunque Unanue recuerda que las entidades siempre utilizan sistemas de seguridad complementaria, independientes del cifrado de la contraseña. La Caixa afirmó ayer que sus servidores usan una versión de Open SSL que no ha sido afectada.

Un portavoz de Yahoo explicó ayer que la empresa ha arreglado el problema en sus webs Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finanzas, Yahoo Deportes, el sitio de fotos Flickr y la de blogs Tumblr, y que están trabajando para subsanar el error en el resto de sus webs. Google publicó que la vulnerabilidad ha afectado a los usuarios de Search, Gmail, YouTube, Wallet (que se utiliza para realizar pagos), Play (descarga de aplicaciones para Android), Apps, y App Engine (donde los desarrolladores suben sus aplicaciones), y tambiíén ha subsanado el bug.

Los afectados de mayor tamaño están parcheando (jerga para arreglos de código) el error, pero el alcance todaví­a se desconoce. El arreglo fue fabricado por Adam Langley, ingeniero en el desarrollo del navegador Chrome, de Google, y Bodo Mí¶ller, experto alemán en cifrado PGP, que trabaja para ACM, una sociedad informática dedicada a la divulgación El descubrimiento del problema fue realizado paralelamente por un tíécnico de Google llamado Neel Mehta y por Codenomicon, una empresa finlandesa.

La vulnerabilidad podrí­a haber afectado a unas 600 de las 10.000 páginas con más tráfico de la red, según un experto de la empresa Qualys citado por Associated Press. Eso supone “millones” de usuarios cuya información ha estado potencialmente expuesta, afirma Chema Alonso, experto en seguridad informática y consultor de Informática 64, empresa española cuya seguridad tambiíén ha sido afectada (y que ya ha arreglado el problema).

¿Cómo funciona el fallo? Open SSL es un programa de código abierto. Es decir, supuestamente cualquier programador puede participar en la escritura de su ADN, aunque eso no quiere decir que lo pueda alterar a voluntad como los artí­culos de Wikipedia. Roberto Velasco, cofundador de la empresa vasca de software Arima y de la de seguridad Hdiv, explica el “procedimiento habitual” en la escritura de código abierto. “Se utilizan repositorios de código fuente en Internet. El que más se usa se llama Github, y sirve para almacenar proyectos. Cada proyecto tiene unos administradores que controlan la calidad del código. El usuario puede enviar trozos de código para introducir cambios, y si el administrador los acepta, los incluye en el código fuente final”.

Y un fallo en el código puede crear una vulnerabilidad. “Una cosa es el bug, es decir, el fallo en el código, y otra es el exploit, la manera de sacar partido del fallo”, detalla Alonso. Hay páginas web donde se pueden conseguir exploits, programas que permiten sacar partido de las grietas de seguridad. Pero “no se conocen incidencias todaví­a”, explica con calma Unanue. Quiere decir que no se sabe de ningún delincuente que haya aprovechado para obtener información de usuarios.

Esto no quiere decir necesariamente que los programas abiertos sean más proclives a estos fallos. Por su naturaleza, existe un historial detallado de los cambios con el que se puede trazar cuándo se introdujo el error; pero localizar al responsable es más complicado, ya que normalmente el programador no usa su nombre y puede que ni siquiera su IP (la “firma” electrónica) real. Fuera quien fuere, el fallo ha agrietado la seguridad de internet.