TU TECNOLOGÍA: Heartbleed, la vulnerabilidad mayor

Tu Tecnología

Si pensabas que tus transacciones en el Web eran seguras, reconsidera tus pensamientos. Esta semana pasada se dio a conocer una vulnerabilidad en OpenSSL, una de las implementaciones del protocolo de seguridad más utilizado en el Internet, que puede revelar más que información confidencial, puede revelar las llaves que la guardan. ¿Cómo es esto posible?

Primero, tenemos que entender que los programadores de los sistemas de seguridad más estrictos son humanos de carne y hueso, tienen familias, conducen autos, comen comida, van al baño y pagan cuentas. En otras palabras, cometen errores. Algunas veces estos errores crean vulnerabilidades pequeñas, otras veces, catastróficas.

¿A quién le afecta? A todo tipo de transacciones seguras que usan los sistemas operativos afectados. En otras palabras, bancos, sitios de comercio electrónico, procesadores de tarjetas de crédito o casi todo el mundo que hace transacciones en la Web.

En el caso de Heartbleed, el problema yace en el protocolo.Cuando se crea una conexión segura usando SSL, que lo puedes ver cuando estás visitando un sitio que comienza con HTTPS en vez de HTTP, existe una verificación de llaves criptográficas y se crea un túnel seguro. Para mantener este túnel abierto entre tu computadora y el servidor, el protocolo tiene un sistema de latido de corazón o heartbeat que le dice al servidor… estoy aquí, no cierres el túnel todavía. Al hacer esto, envía un paquete con información y el servidor se lo devuelve para confirmar.

Los hackers encontraron la manera de enviarle al servidor un paquete con información parcial y el servidor lo que hace es básicamente escupir lo que tiene en la memoria adyacente a ese paquete falso, porque no tiene la capacidad de verificarlo.

En otras palabras, le envío una caja de dulces a alguien que es dueño de una panadería y se supone que me los devuelva, le digo que le envío 64 dulces pero en realidad le envío uno solo. Al abrir la caja para confirmar el panadero piensa que alguien se robó los otros dulces y llena la caja con sus propios dulces y me la devuelve llenita. En el caso de un servidor, estos otros dulces pueden ser palabras claves, llaves privadas para establecer sesiones o túneles cifrados. Este ataque es indetectable porque parece tráfico normal. Si se trata de bloquear, se bloquea todo el tráfico cifrado de ese servidor.

Más de medio millón de servidores han reportado esta vulnerabilidad y la implementación de este protocolo puede que haya sido parte de más de la mitad de los servidores en el Internet. En otras palabras, catástrofe total.

¿Qué puedes hacer? Poco, Cambiar tus palabras claves frecuentemente y utilizar tarjetas de crédito para hacer transacciones en línea para transferir el riesgo.