Chema Alonso CEO de Eleven Paths, empresa filial de Telefónica y unos de los grandes especialistas en seguridad de nuestro país explica que “el fallo está en una implementación del protocolo SSL (Capa de conexión segura), una pieza de programación que se aplica en códigos que se quieran cifrar y que se antepone a los populares http, ftp, VPN, etc.; de forma que, antes de que se activen éstos, hay una negociación entre máquinas para comprobar que tanto el servidor como el cliente se han puesto de acuerdo en la utilización de una clave de cifrado, única e inaccesible, para abrir la comunicación. Si alguien es capaz de descifrar esa clave, puede acceder a todo el tráfico”.
Así se explica el Heartbleed
Dentro de ese proceso, las máquinas, educada y virtualmente, se saludan y se dan la mano, ‘hands shake’, intercambiando las llamadas claves privadas y públicas, las cuales son complementarias y deben encajar, una con otra, de la misma forma que lo hacen los dientes de una llave con la cerradura (una cifra, la otra descifra y montan, entre las dos, una pieza única que abre el paso).
A partir de ese momento podemos realizar nuestras peticiones a la Red: ver una página web, abrir el correo, enviar un archivo, o incluso entrar en una red privada de hogar o empresa. Mágicamente, nuestros deseos nos son concedidos, conforme a la encriptación asignada por el sistema y determinada por el mencionado 'hads shake'.
Dado que el protocolo de saludo es largo y tedioso, en términos informáticos, se incorpora un sistema denominado latido del corazón (heart beat) con el fin de que la sesión se mantenga abierta y no haya que reiniciar el diálogo continuamente. En términos humanos, sería “continúa hablando, sigo aquí, te escucho y te quiero”. Ese latido se envía periódicamente como una señal generada bien por la máquina, bien por el programa, para indicar que la operación es normal y que las diferentes partes del sistema están sincronizadas.
¿Qué ha ocurrido? Que si se lanza el latido del corazón sin haber realizado el imprescindible saludo previo, el software del servidor se ‘desconcierta’, se produce lo que técnicamente se denomina una excepción y se vuelca TODA la memoria del servidor. Es una situación similar a la de una persona que se acerca a otra le dice que lo ama y que va a permanecer a su lado y en vez de provocar una reacción de rechazo, ésta última se rinde a sus pies y le da todo lo que tiene.
“La memoria de los ordenadores siempre está cifrada y en ella se aloja todo lo que está ocurriendo en el servidor. Cuando alguien abre el ‘mail’, por ejemplo, sus correos, su nombre de usuario y contraseña están en esa memoria del servidor y si esta está ‘abierta’, cualquiera puede verlo. Es más, aunque la memoria cambia continuamente, si un hacker lanza ‘heart beats’ maliciosos de forma continua (basta apretar una tecla) vuelca 64 K de datos llenos de contenido, igualmente de forma continua, –explica Alonso-“.
Quién lo hizo y quién lo descubre
El pasado 9 de abril, el mundo entero se enteró de que este agujero informático que podría desestabilizar la sociedad mundial se ‘escribió’ en 2011 y que, por tanto, lleva tres años abierto a todo aquel que se haya dado cuenta. Su autor, el desarrollador alemán Robin Seggelmann, descrito paradójicamente como un hombre que ha colaborado a “escribir las leyes técnicas de Internet”, ha declarado al Sydney Morning Herald, hoy 10 de abril, que se trata “de un error de programación trivial” y asegura que no lo hizo a propósito ni al servicio de ningún interés político o económico.
“Estaba trabajando en la mejora del OpenSSL, eliminando errores y añadiendo nuevas características. Desafortunadamente, metí la pata al validar una variable que ha causado el ‘heartbleed’ (desangrado del corazón). Fue un simple error de programación –asegura Seggelmann al tiempo que rechaza las insistentes afirmaciones de que lo hizo para una agencia de seguridad-“. “No hubo intención ninguna, estaba arreglando errores e intentando colaborar en un proyecto abierto a cuyo código puede acceder todo el mundo”.
La noticia sobre la existencia de esta gravísima vulnerabilidad saltó el pasado 7 de abril, cuando un grupo de investigadores de Codenomicon, especialistas en seguridad, lo detectaron y pusieron sobre aviso a los usuarios y a los profesionales de las tecnologías de la información. Uno de ellos es también ingeniero en Google.
De allí pasó a los medios y se alertó al mundo entero, que ahora se pregunta qué ha salido y de dónde en éstos tres años; y lo que es peor, qué puede ocurrir a raíz de esta catástrofe informática. Es importante señalar que el problema es independiente del sistema y terminal de acceso, por tanto nos afecta accedamos a través de un ordenador, un tablet, un móvil o cualquier otro aparato conectado a la Red.
Si (
No(
