Heartbleed y su error de seguridad

Escrito en Heartbleed el mayo 2, 2014

Seguramente desde hace unas semanas escuchaste algo sobre una falla de seguridad conocida como Heartbleed. Trataremos de explicarlo lo mejor posible.

OpenSSL es un popular paquete de librerías de seguridad, especialmente en los servidores que suelen servir las páginas que visitas.Se ha descubierto un bug en las versiones 1.0.1 hasta la 1.0.1f, que permitiría acceder a información del servidor.

Para quien no conozca que hace OpenSSL, es una herramienta que permite el cifrado y desencriptación de datos entre servidor y cliente, tu navegador o aplicación.

Si eres usuario de Linux deberías actualizar tus librerías ya que podrías ser vulnerable. En otros sistemas como en Windows no hay prácticamente ningún problema.

La cosa se pone seria cuando hablamos de servidores. Una vulnerabilidad así de grande en un producto tan masivo como OpenSSL es muy grave, ya que si alguien se aprovecha de Heartbleed podría acceder al contenido de la memoria RAM en los servidores afectados, robando información sensible como contraseñas, datos de tarjetas de crédito y básicamente cualquier cosa que se mueva por la red.

Robin Seggelman es el responsable de esta falla en el paquete de librerías OpenSSL y aseguró a los medios que se debió a un descuido a la hora de codificar y no fue un hecho intencional. “Hace dos años atrás, estaba intentando mejorar OpenSSL enviando correcciones de errores y agregando nuevas características. En una de esas características, lamentablemente, olvidé validar una variable”.

Ya hubo una respuesta de la Linux Foundation. Se anunció la creación de una alianza con importantes actores del mundo tecnológico, para evitar que sucesos similares ocurran nuevamente en el futuro.