Qué es el Heartbleed ?

> > Computadoras e Internet

Es una “pulga” informática o “bug” informático. Ya casi nadie usa el término “pulga” pero es la mejor traducción que hay para “bug” y hace referencia a un pequeño fallo en la programación de un sistema informático. En el caso del “Heartbeed”, que quiere decir “corazón sangrante” o “sangrado de corazón” es un fallo en el OpenSSL. El OpenSSL es un conjunto de herramienta informáticas que permiten administrar y codificar la información que se trasfiere entre servidores, y entre éstos y las páginas web y entre las computadoras de los usuarios con todos los anteriores.

En palabras simples es un conjunto de programas que permite proteger la información de las personas en la Internet. Los protocolos de transferencia de datos que hasta hoy día se usan se han convertido en un estándar para proteger la información de los usuarios. Un conjunto de las herramienta mas valiosas para implementar estos protocolos es precisamente el OpenSSL, que debido a que su desarrollo se realiza en el “espíritu del software libre” es una de las más usadas; no es la única pero resulta ser de las pocas que se pueden obtener de manera gratuita y que tiene una gran comunidad que la mantiene actualizada.

Tal es su prestigio que más de la mitad de las páginas web en Internet usan OpeSSL para administrar estos protocolos de transferencia de datos. En abril del dos mil catorce, dos empresas reportan una “pulga” en la seguridad de OpenSSL, fueron Google, en su departamento de seguridad informática y la firma de seguridad informática de Finlandia Codenomicon.

Al parecer fue la segunda en reportarlo primero pero casi que fue simultáneo y de manera independiente, lo que valida mucho el uso de software libre, pues al encontrar el fallo de esta manera le permite a muchos el poder corregirlo por sí mismos o esperar las actualizaciones pertinentes, en ningún momento hay nada “escondido” como ha ocurrido con ciertos fallos de seguridad en sistemas privativos, que nadie se da cuenta de ellos hasta que las empresas los liberan, si es que lo hacen pues al contar solo ellos con los códigos fuentes solo ellos podrían notar tal fallo a menos que alguien esté buscándolo o lo encuentra de casualidad.

Para muestra un ejemplo pequeño: resulta que un adolescente logró “hackear” un grupo de cajeros automáticos con solo leer el manual que encontró en Internet, y la cosa fue de lo más simple, a la empresa de seguridad dueña de los aparatos no se le ocurrió cambiar la clave que estos cajeros tienen por defecto y esto le permitió al joven el acceso a todo el sistema del cajero. Algo tan sencillo y nadie lo vio, hasta que aparece alguien curioso. Volviendo al “Heartbleed” nadie se había dado cuenta de esa falla durante años, y si alguien lo supo se quedó bien calladito.

En sí se trata un programa que tener acceso a la memoria de los servidores o de las computadoras con acceso de administrador (en Linux se le dice acceso de “root” como lo explican en algunas páginas web); pues bien, de otra forma no habría acceso a esa información, si no se trata del dueño mismo de la cuenta pero al tener acceso como “root” la información queda disponible para quien use esa herramienta del OpenSSL.

Quiero que nos fijemos bien en que se trata de la información en la memoria de las máquinas, no de la información que está en transferencia y que a su vez está codificada, por lo tanto está segura. Mientras que la información en la memoria no está codificada, obviamente porque así es como la debe usar el dueño de la cuenta misma, y es de allí de donde se obtienen las claves, números de tarjetas de crédito y demás datos del usuario. Como anécdota, se dice que la Agencia de Seguridad Nacional (NCA por sus siglas en inglés) de los Estados Unidos de Norteamérica utilizó esta falla para espiar a los usuarios, aunque nadie ha dado evidencia firme en esto.

Actualmente las páginas web están solicitando que cambien sus claves de acceso para verificar que no hallan sido robados sus datos personales. En cuanto al fallo "Heartbleed" en sí mismo ya ha sido corregido y los “certificados de seguridad” se están actualizando, también los programadores que administran los sistemas pueden aumentar la seguridad, eliminado todo acceso o permiso de “root” a las herramientas del OpenSSL, que en sí fue la primera medida de emergencia que se tomó en su momento.

Tus Preguntas

Contacto Links Aviso legal
Copyright ©2005-2017, Todos los derechos reservados

View Site in Mobile | Classic
Share by: