En una escala de gravedad del 1 al 10 esto es un 11
– Bruce Schneier, experto en seguridad
Desde hace días se habla sobre este gravísimo, catastrófico y devastador bug llamado Heartbleed que afecta al código de OpenSSL, el protocolo de seguridad clave de muchos servidores de la Web. El bug entró por error en ese código aparentemente sin malas intenciones, hace dos años. Pero hasta que expertos de Google lo han detectado y se ha corregido ha pasado mucho tiempo.
El bug Heartbleed permite a un atacante extraer desde el exterior información directamente de la memoria de los servidores web supuestamente seguros; datos que incluyen cuentas, contraseña e incluso los certificados o «claves maestras» que se emplean para garantizar su identidad y la confidencialidad de las comunicaciones. Para colmo de males, no queda registro alguno de que se haya utilizado, lo que lo convierte casi en «indetectable».
El fallo ya está parcheado y las grandes empresas y especialmente los proveedores de hosting ya lo han arreglado en sus servidores web. Pero nadie puede asegurar que en estos dos años alguien no se haya "aprovechado" de él. De hecho estos días se han enviado millones de correos por parte de servicios web de todo tipo recomendando a los usuarios «cambiar sus contraseñas».
Mi recomendación es también cambiar todas las contraseñas personales lo antes posible. Y no usar la misma en dos sitios distintos. Es aburrido e incómodo pero necesario – el fallo ha llegado a todos los confines de Internet y no está nada claro cuántas organizaciones o individuos pueden haberlo aprovechado (tanto en estos últimos días como anteriormente).
Hay más detalles al respecto en este artículo que publiqué para RTVE.es: «Heartbleed»: el nombre del fallo de seguridad más impresionante en la historia de Internet.
El colmo de los colmos ha sido la información publicada por Bloomberg en la que se asegura que la NSA estuvo explotando el bug para recopilar información de toda Internet durante estos dos años. En otras palabras: permitieron que un gravísimo problema de seguridad quedara «suelto» afectando a millones de usuarios y empresas mientras lo aprovechaban para aspirar las intimidades de la red al completo, amparándose en el clásico mensaje de «os hemos espiado, pero ha sido por vuestro bien». Como no podía ser de otra forma, la NSA lo ha negado oficialmente – pero ya poca gente les cree.