Grave agujero OpenSSL, pero también sensacionalista

  • Por
El revuelo en Internet esta semana sobre el fallo de seguridad en OpenSSL viene con una buena dosis de sensacionalismo y posibles intereses comerciales.
10/04/2014 -

Esta semana se ha armado un revuelo considerable en Internet debido a un bug en OpenSSL. Sin duda se trata de un fallo de seguridad grave, pero detrás de él también hay una serie de informaciones que no se ajustan perfectamente a la realidad y que parecen tener como objetivo atacar a organizaciones de software libre.

El fallo de seguridad se ha denominado "Heartbleed Bug" y afecta a la librería OpenSSL, software de criptografía de código abierto, por el cual se puede robar información que supuestamente viaja encriptada, tanto los datos transferidos como las propias claves enviadas a través del protocolo SSL.

Nada que objetar a este fallo de seguridad, que a estas alturas las comunidades de software libre ya han solucionado. Es importante que cualquier desarrollador o empresa que mantenga servidores que trabajan con certificados de seguridad y que utilicen OpenSSL, que actualicen a toda prisa el software e incluso que cambien las llaves secretas de encriptación. Se puede encontrar más información en http://heartbleed.com/

Sensacionalismo en la media

Sin embargo, todo este revuelo ha adquirido dimensiones mayores de las que posiblemente debería. En la mencionada web, donde se anuncia el bug, se hace referencia a Apache y nginx como portadores de esta deficiencia y se informa que el 66% de los servidores de Internet usan esos sistemas.

Esa información ha provocado que durante esta semana se hayan enviado mensajes a diestro y siniestro informando que "dos tercios de Internet" estaban en peligro y cosas similares que no son del todo ciertas.

Primero, el bug Heartbleed solo afecta a ciertas versiones de la librería OpenSSL. "Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected" como nos informan en la propia web de OpenSSL. El problema no es el propio OpenSSL, sino una implementación en su programación que ya ha sido corregida.

Segundo, no es cierto que el 66% de los servidores de Internet estén comprometidos, sino solamente aquellos que usan certificados de seguridad SSL con esas versiones de OpenSSL. Por ello, en realidad se debería haber mencionado un porcentaje mucho menor de sistemas que estaría por debajo del 17%. Como nos informaba Ricardo Galli @gallir a través de su Twitter: https://twitter.com/gallir/status/453946144096149504

Hay quizás otros intereses detrás de esta noticia

Debido a que este notición, al que repito, no le queremos quitar importancia, viene de donde viene, se puede intuir que además de informar a la comunidad se podría esconder algún tipo de interés empresarial.

La realidad es que el impulsor de esta avalancha informativa es una persona que está relacionada con Microsoft, el antiguo jefe de seguridad de la empresa de Redmond. Eso insisto que no le resta importancia al bug, pero tal como se ha orquestado parece que aparte de todo pudo haber algún tipo de segunda intención. No tenemos una bola de cristal en este sentido, pero es lo que nos hacen entender ciertas noticias de medios más especializados. http://techrights.org/2014/04/08/howard-schmidt-codenomicon/

Quizás tampoco hubo una segunda intención y toda la marabunta de post y noticias con informaciones incorrectas se deben simplemente al mundo globalizado en el que vivimos y son el resultado del copieteo sistemático de información entre periodistas y bloggers-de-post-en-masa que realmente no tienen un grado de experiencia suficiente para contrastar informaciones y ser críticos cuando leen textos en los que se inspiran.