Un soplo en el corazón de internet

A finales de 2011 un desarrollador decidió introducir un pequeño cambio en la librería OpenSLL, uno de los sistemas de cifrado de información de código abierto más extendidos de la Red. Esta modificación, que quedó sepultada entre líneas y líneas de código de programación, abrió sin quererlo un butrón en algo considerado hasta hace poco el referente de las comunicaciones seguras presente en todo tipo de páginas: desde bancos hasta redes sociales. Desde ese momento y por un tiempo difícil de acotar, las claves y otros datos de decenas de millones de cuentas quedaron expuestas mientras uno se creía a salvo tras símbolos como el 'https' o esos candados sinónimos de protección. «Muchos de los servicios que se utilizan a diario, como email, redes sociales o aplicaciones se han visto expuesto. El número de usuarios afectados es muy elevado», recuerda Omar Benbouazza, experto en seguridad informática, sobre esta crisis bautizada como ' Heartbleed ' ('corazón sangriento').

Una ecléctica lista de empresas, servicios de 'cloud computing' e incluso gigantes del tamaño de Google, Yahoo!, Facebook o Pinterest se apresuraron a escrutar sus servidores, taponar la fuga y pedir a los internautas que renovasen sus claves de acceso.

En el caso de España, Intecao ha calculado que de 3.394.81 millones de sitios con dominios 'puntoes' analizados solo 47.641 están afectados. Esta cifra significa que poco más de uno de cada 200 de estas páginas todavía no ha 'parcheado' esta grieta. Los autores del estudio, aunque con cierta prudencia, minimizan el impacto. Sostienen que, aunque introducido hace dos años y medio, la versión afectada no se promocionó como estable hasta marzo de 2012 y el fallo fue dado a conocer públicamente hace pocos días, una noticia que vino acompañada de una solución, quedando de esta forma limitada su explotación.

'Usuario y contraseña': un tándem obsoleto

A pesar de estas elucubraciones tan optimistas, el episodio ha vuelto a poner de manifiesto la necesidad de replantear el tradicional sistema de proteger la información que rige desde los tiempos antediluvianos de internet.

«El uso de una única contraseña está obsoleto», asegura Benbouazza, analista de Nokia y organizador de RootedCON, uno de los cónclaves nacionales más importantes de seguridad informática, haciendo referencia a algunas soluciones que exigen una doble autentificación en este aspecto. «Se trata de poner más obstáculos a quienes quieren acceder a tus datos», remacha sobre la creciente preocupación por este aspecto entre la comunidad, un sentimiento al alza «después de aparecer Edward Snowden».

Correo electrónico -personal y laboral-, cuenta de Facebook, Twitter, Dropbox. En España, cada persona tiene una media de veinte 'apps' instaladas en su 'smartphone'. En definitiva, un laberinto de accesos. «Hay que almacenar demasiadas claves, lo que hace que acaben siendo predecibles o se repitan», justifica Jose Antonio Guasch, coordinador del Tiger Team de SIA, quien destaca que el escenario de hiperconectividad de los usuarios ha llevado a que 'Heathbleed' produzca «un efecto cadena de esas dimensiones».

Solo en 2012, tres de cada diez españoles detectaron algún tipo de 'malware' y el 7% reconoció que le habían sustraído en algún momento su 'identidad' digital. Un panorama, el de los ataques cibernéticos, que se ha multiplicado en pleno reinado del 'smartphone': en 2013 se detectaron, según cifras de Kaspersky Lab, 315.000 nuevos archivos maliciosos cada día, un 60% más que el anterior curso.

En este escenario han comenzado a popularizarse las soluciones basadas en una segunda clave que el usuario recibe por mensajes o alternativas biométricas como lectores de retina o huellas dactilares, como se ha podido ver en los teléfonos estrella de Apple y, más recientemente, Samsung.

Guasch cree que a día de hoy «no son la panacea», teniendo en cuenta su tierno desarrollo. «El problema es que todo puede ser 'hackeado'. Si consiguen una copia de tu huella dactilar el sistema queda comprometido para siempre», afirma, incidiendo en el mantra del gremio de que «nada es cien por cien seguro».

«Las técnicas biométricas bien desarrolladas necesitan herramientas muy complejas y tienen aún un coste alto», sostiene Vicente Díaz, analista de Kaspersky, quien comparte la idea con Guashde que la popularización de estas herramientas, en el estado actual, no habría frenado los efectos del 'bug' de OpenSLL, puntualizando que aquellos que hayan robado datos de acceso lo han hecho directamente en los servidores de las firmas afectadas.

«Habría que ver cómo estos sistemas de reconocimiento de imagen distinguen una fotografía de una persona real», se pregunta Díaz sobre los retos que enfrenta la biometría, de la que destaca su futuro potencial.

Chema Alonso, uno de los 'hackers' españoles más conocidos, opina en cambio que la combinación de contraseña con una barrera adicional sí que «habría amortiguado los efectos de 'Heatbleed'».

El CEO de 'Eleven Paths' justifica que estas tecnologías «se encuentran en un primer nivel». Aunque «es demasiado pronto para pensar en su utilización», destaca las patentes de firmas como Apple, que ha registrado un sistema para desbloquear los dispositivos en base a la frecuencia cardíaca; o la futurista pastilla de IBM, que permitirá acceder al sistema una vez se consuma y se disuelva en el organismo humano. «Hasta que eso llegue, es básico evitar este tipo de ataques rodeándonos de algún sistema de autenticación en segundo lugar, como un SMS que nos permita bloquear la cuenta de manera externa si vemos que alguien se ha apropiado», concluye.

Debate sobre el 'Open Source'

El otro gran afectado de todo este episodio también ha sido el 'Opensource', que ve como se ha generado un debate alrededor de que el código a servicio del todo del mundo, algo que 'a priori' siempre se ha defendido: al ser algo abierto, está bastante más testeado. «No es verdad que esté más auditado. Existe la posibilidad de auditarlo, de que cualquiera lo hago, pero ello no conlleva que alguien haya hecho ese trabajo de seguridad», argumenta Alonso. «Lo importante no es la naturaleza de la plataforma, sino el trabajo de protección que se haya realizado», apunta el también autor del blog 'Un informático en el lado del mal'.

«Siempre ha habido dudas al respecto», añade Benbouazza, quien trae al primer plano el caso de 'Truecrypt', un software para cifrar datos y discos duros. «Existe multitud de teorías conspirativas ya que es un proyecto ciertamente opaco. Aún así es empleado por millones de personas en todo el mundo», concluye. Guasch, compañero en el 'staff' de Roooted CON, lamenta que en ocasiones como estas los problemas vienen dados «porque no hay, como quien dice, más alternativas fiables». «Hay que tener en cuenta que son miles y miles de código. Si uno no lo revisa rápidamente, es probable que ya se hayan hecho otras modificaciones y quede tapado», añade.

Una situación con la que quiere acabar el presidente de la Fundación Código Abierto ha lanzando una bengala de auxilio para dar un acabado más profesional al entorno del software libre que vuelva a cortar de raiz la posibilidad de que se repita un error así. Para ello y para subsanar los efectos colaterales del error lo más rápido posible, pide reforza su equipo «con algo más que voluntarios».