Diez días han pasado desde que se dio a publicidad la existencia de Heartbleed, y la ´hemorragia` no cesa, al menos la de palabras en torno a esta vulnerabilidad que ha estado latente desde 2011. Los ´médicos` coinciden en el diagnóstico pero no en el tratamiento de una de las situaciones más complejas que han visto, según ellos. O sea que el genio ha escapado de la botella, pero podemos irnos de vacaciones sabiendo que, de todos modos, si el mal está hecho, ya no tiene remedio. Y si no, algo habremos aprendido (?). Recapitulando:
1) No es obra de ciberdelincuentes, ni de hackers rusos o chinos, sino el producto de un accidente. Robin Seggelman, el programador de Deutsche Telekom que dejó abierta una brecha en la librería de códigos de OpenSSL, se lamenta de que durante este tiempo nadie haya reparado en el fallo: pese a que su empleador dedica muchos recursos al testing de software, «desafortunadamente, el encargado de revisar el código no descubrió el error […] a pesar de una distribución tan amplia y de sumar usuarios por millones, OpenSSL no tiene el soporte suficiente para una pieza de software tan importante para la seguridad de los sistemas», ha declarado.
2) OpenSSL se encuentra instalado en los servidores Apache y ngnix, del tipo open source que, combinados, representan casi el 70% de los sitios web activos, según la estadística distribuida ayer mismo por Netcraft, así como en varias distribuciones de Linux. La vulnerabilidad corresponde a una extensión conocida como Heartbeat, de ahí que sus descubridores la bautizaran Heartbleed. Los programadores también tienen humor.
3) El error de Seggelman no sólo escapó a los mecanismos de revisión establecidos, sino que se coló por las rendijas de las empresas especializadas en seguridad [algunas de las cuales ahora emiten comunicados oportunistas] hasta ser identificado por una ignota compañía de software finlandesa, Codenomicon, en colaboración con su contacto en Google, un tal Neel Mehta.
4) Tampoco la industria detectó la amenaza latente, pero por lo menos ha sido rápida en reaccionar tras la revelación: Cisco, Juniper y HP han modificado los códigos de seguridad de sus routers; la lista de quienes dicen haber tomado medidas se amplía con IBM, Intel, Oracle y RedHat. Otros han preferido tomarlas sin decirlo. Hasta donde se sabe, Google, Facebook, Twitter y Dropbox ya han implementado en sus servidores HTTPS la función perfect forward secrecy (PFS). Apple afirma que tras revisar concienzudamente millones de líneas de código, no ha encontrado la huella de Heartbleed. Muchos se han preguntado por BlackBerry, que hace gala de la inviolabilidad de sus sistemas BES, presentes en operadores, corporaciones y gobiernos; sin novedad, salvo que la compañía ha procedido a parchear su versión de mensajería para Android.
5) No hay noticia (publicada) de ningún incidente relacionado con esta vulnerabilidad. Lo preocupante es que nadie parece saber con certeza a qué hemos de atenernos: al usuario que teme por sus contraseñas, se le dice que no se precipite a cambiarla, porque antes debería estar seguro de que los sitios web a los que correspondan han sido efectivamente parcheados.
6) Un despacho de Bloomberg que evocaba la posibilidad de que la NSA hubiera aprovechado esta vulnerabilidad para su campaña de recogida de datos de ciudadanos americanos y extranjeros, ha sido desmentido por la Casa Blanca. Pero, al afirmar que el ente de espionaje desconocía la existencia de Heartbleed, ha metido la pata: el comunicado precisa que no se arrepentiría de haberlo hecho en caso de necesidad cierta de proteger la seguridad de Estados Unidos. No ganamos para sustos.