No dejes que Heartbleed hunda tu empresa
Mucho se ha hablado en estas semanas sobre Heartbleed. Las grandes empresas ya están dedicando medios y fondos para solucionar el problema pero ¿Qué ocurre con el ciudadano medio o las pequeñas y medianas empresas? Para empezar, creo necesario explicar en un lenguaje “de calle” la verdadera magnitud del problema. Si nos ceñimos al aspecto puramente técnico, Heartbleed es una vulnerabilidad descubierta en Open SSL. Open SSL es el software utilizado por casi dos tercios de las páginas web en internet que utilizan las medidas de seguridad y cifrado que proporciona el protocolo SSL (Secure Socket Layer). Hasta aquí lo que ya sabíamos, pero ¿cuál es realmente el problema? SSL, se utiliza para cifrar el contenido que se intercambia entre el puesto del usuario (PC, móvil, tablet) y el servidor al que se conecta. El cifrado se realiza extremo a extremo, garantizando que “nadie” en ningún momento puede tener acceso a la información intercambiada entre los usuarios y el destino.
Lo que se ha descubierto, y ha puesto en alerta a medio mundo, es precisamente una vulnerabilidad que permite acceder a la información “supuestamente cifrada” que se intercambia entre los usuarios y los servidores del destino. Por poner un ejemplo sencillo, cuando nos conectamos a la pagina web de nuestro banco para ordenar una transferencia se nos solicita un usuario y contraseña. Esa información va cifrada y nadie podía tener acceso a ella. Eso pensábamos, pero la realidad es que desde el año 2012 la implementación más popular del protocolo SSL era vulnerable y permitía el acceso a esos datos.
Por resumirlo en un lenguaje profano, podríamos decir que alguien había conseguido una llave maestra con la que abrir todas las puertas de las cajas fuertes en las que guardamos la información más valiosa que tenemos. Las implicaciones de esto son muchas, y conviene recordarlas para que no llevarnos a engaños. No podemos limitarnos a pensar que el problema puede ser que alguien haya obtenido nuestra contraseña de gmail, el problema es mucho más grande si tenemos en cuenta esa costumbre tan nuestra de usar la misma contraseña para todo. Puede que nuestro banco no se haya visto afectado pero de nada sirve si alguien obtuvo la contraseña con la que compramos entradas del cine y que “casualmente” es la misma que la del banco.
Y cuando hablamos de seguridad, no podemos olvidar que siempre, absolutamente siempre, tenemos que tener claro que la cadena se romperá por el eslabón más débil, y que la seguridad de nuestro negocio será por tanto tan fuerte como lo sea dicho eslabón. Heartbleed sin lugar a dudas, ha conseguido que uno de los eslabones de la cadena sea simple cartón y por eso no podemos quedarnos de brazos cruzados esperando a que los demás arreglen el problema. Mientras las empresas propietarias de los sitios webs vulnerables lo solucionan, debemos buscar otras formas de protección que minimicen la exposición a dichos sites vulnerables y que eviten que seamos víctimas de alguno de los numerosos exploits que ya circulan por la red.
El problema es por tanto bastante serio y no en vano se le considera ya el mayor agujero de seguridad de los últimos tiempos. Hoy es noticia, que importantes compañías de la industria TIC han decidido aunar sus fuerzas para prevenir se repita una vulnerabilidad como Heartbleed. Hablamos de Facebook, HP, Microsoft, Google, Dell, Cisco, IBM, VMWare, Qualcomm, Rackspace, Amazon Web Services, Fujitsu e IBM, que han formado la conocida como Core Infraestructure Initiative. Cada compañía aportará 100.000 dólares anuales por un mínimo de tres años, que se utilizará para financiar la mejora del software de código abierto, como la herramienta de cifrado de OpenSSL, que contenía el bug Heartbleed.
Esta solución está muy bien de cara al futuro, pero no podemos confiarnos y pensar que nuestras empresas a día de hoy están exentas de peligro, y desde All4Sec consideramos total y absolutamente necesario aplicar medidas de protección antes de que el problema pueda llegar a hundir nuestro negocio.
