:quality(75)/media/dinero/images/2014/04/mundog140414.jpg)
CIUDAD DE MÉXICO.- La falla Heartbleed suena como un desagradable padecimiento coronario. Realmente es un defecto de software que ha dejado a hasta dos tercios de los sitios web del mundo vulnerables al ataque de los hackers.
“Este es potencialmente el bug (error de programación) más peligrosa que hayamos visto en mucho tiempo”, dice James Beeson, director de Seguridad Informática de GE Capital Americas, subsidiaria de General Electric.
Desde el pasado 7 de abril, cuando su existencia fue revelada por investigadores en Google y Codenomicon, una firma de seguridad, incontables compañías en todo el mundo que dependen de internet para parte de o todas sus actividades han estado apurándose a corregir la falla.
Irónicamente, el error fue descubierto en Open SSL, un software de encriptación que fue diseñado para hacer a internet más seguro. Disponible gratuitamente, este código de fuente abierta es popular entre las empresas y los gobiernos, que lo usan para ayudar a asegurar todo, desde las transacciones con tarjeta de crédito en línea, hasta los servicios públicos.
El 9 de abril, por ejemplo, la autoridad fiscal de Canadá cerró el acceso público a sus servicios en línea mientras verificaba la seguridad de sus sistemas a la luz de la noticia sobre la falla.
Cuando nada es lo que parece
El bug permite a hackers engañar a un servidor para que proporcione los datos que tiene en su memoria. Open SSL tiene una función conocida como heartbeat (latido), que permite a una computadora en un extremo de un enlace encriptado enviar señales ocasionales a la computadora en el otro extremo del mismo, para verificar que sigue en línea.
Un hacker con conocimiento de la falla podría imitar esta señal y usarla para robar todo tipo de datos de una computadora remota.
Éstos podrían incluir claves encriptadas que permitan descifrar el tráfico. Para empeorar las cosas, los investigadores encontraron que la falla, que está presente en algunas versiones de Open SSL que han estado disponibles desde marzo de 2012, permite que se monten ataques sin dejar rastro en las “bitácoras de servidor” de las computadoras atacadas, lo que significa que las víctimas no están conscientes de que sus sistemas fueron puestos en peligro.
En otras palabras, es imposible decir con seguridad qué daño se ha hecho.
La falla ha obligado a las compañías a determinar rápidamente cuántos de sus sistemas emplean las versiones vulnerables de Open SSL.
“Todos saben que tienen que parchar sus sitios web de internet que dan la cara al cliente”, dice Jonathan Sander de Stealthbits Technologies, una firma de seguridad que está ayudando a uno de los bancos más grandes de Estados Unidos a definir dónde ha desplegado el software defectuoso, “pero que es sólo la punta del iceberg”.
Los sistemas conectados a la web que manejan cosas como datos contables y personales también necesitarán ser verificados en busca de la falla, afirma.
Buscando la aguja, o el pajar
Sander compara el descubrimiento de la falla Heartbleed con encontrar una parte defectuosa en casi todos los modelos de autos. El problema es que internet no puede ser llamado al taller. Las grandes compañías como Google y Yahoo han actuado rápidamente para hacer frente a la falla, pero millones de sitios de comercio electrónico más pequeños y otras empresas enfrentan la inquietante perspectiva de ser atacados por hackers, alertados recientemente de la existencia de la falla,mientras las empresas se apresuran a corregir el problema.
La cura incluye aplicar un “parche” de software y luego elegir nuevas claves de encriptación para reemplazar las que pudieran haberse visto comprometidas. Una vez que esto se haya hecho, los clientes a menudo necesitarán cambiar sus contraseñas. Tumblr, un servicio de blogueo propiedad de Yahoo!, ha instado a sus clientes a cambiar las contraseñas que usan para todos los servicios en línea seguros que contienen datos confidenciales sobre ellos. Algunas compañías incluso eligieron suspender sus servicios mientras estaban trabajando en una corrección. Bitstamp, un mercado de la moneda electrónica bitcoin, suspendió temporalmente los registros de nuevas cuentas y los accesos a sus cuentas existentes.
Historias de espías y demandas
Quizá el riesgo resulte exagerado. Sin embargo, si los sistemas de las compañías realmente han sido hackeados por el bug, se abriría una caja de pandora legal. Las empresas argumentarían que no deben ser castigadas por usar un software de seguridad en que se confiaba ampliamente. No obstante, los clientes agraviados –y sus abogados– podrían ver las cosas de manera diferente.
Cómo terminó la falla en el software Open SSL en primer lugar es un misterio. Bruce Schneier, un experto en seguridad en internet, argumenta en una publicación de blog que “es cercana a uno la probabilidad” de que las agencias de inteligencia hayan aprovechado el problema técnico para hacerse con las claves de encriptación necesarias para descifrar información sobre sus blancos. Su suposición es que la falla técnica es resultado de un error de codificación, en vez de la obra de espías, aunque no puede estar seguro.
Sin importar a quién se daba culpar, este episodio es otro recordatorio de los desafíos de seguridad que enfrentan las compañías cuando cada vez más actividad económica se traslada a internet. Según e-Marketer, una compañía de investigación, es probable que las ventas de comercio electrónico de empresas a clientes crezcan ligeramente más de 20 por ciento este año, a 1.5 mil millones de dólares. Esa es una oportunidad comercial enorme, pero también alienta a los criminales cibernéticos a poner en la mira aún más vigorosamente a las empresas.
Esperen más acidez estomacal por cuestiones de seguridad computacional en las salas de Consejo.
:quality(75)/media/dinero/images/2013/08/oracleg.jpg)
:quality(75)/media/dinero/images/2013/10/iphone5sr.jpg)
:quality(75)/media/dinero/images/2013/02/keyboardgt.jpg)