El caos causado por el descubrimiento de Heartbleed la semana pasada tuvo tintes bastante diferentes a otros problemas de seguridad masivos que han sucedido durante los últimos años. Esta vez no se trató de ataques informáticos dirigidos, no se trató de activismo organizado, y menos se trató de niños jugando al hacker.
PUBLICIDAD
Que el problema se haya generado por un descuido de una o dos personas es una señal demasiado fuerte. En el mundo actual, más importante que la seguridad como concepto lo son las medidas que se toman frente al tema, como los certificados de seguridad, medidas de cifrado, nuevas barreras de acceso, y un largo etcétera.
No deja de ser irónico que al final nada de lo anterior tenga mucha importancia cuando un desliz tan pequeño sea suficiente para tirar por la borda todo. Casi literalmente todo. OpenSSL es demasiado transversal al mundo internet y su uso es tan extendido que pocos de los servicios más utilizados por la comunidad no quedaron expuestos por un error humano.
Tampoco deja de ser irónico que hoy en día se le tenga tanto terror a lo que pueden hacer Anonymous u otros grupos organizados que durante un tiempo se han dedicado a crear alertas. El calibre de Heartbleed por sí solo ya es bastante mayor al de un hackeo más “tradicional”, con el respeto que merecen las acciones de Anon o el Ejército Electrónico Sirio.
Sería injusto apuntar con el dedo al programador (y a quien revisó el código) como culpables. Porque básicamente, no es su culpa. Al final, el software y las líneas de código son creaciones humanas y eso significa que el margen va a estar presente. Como se suele decir, “la seguridad es una ilusión”, y mientras haya personas detrás de verificar procesos y certificar funcionamientos, nada nunca se podrá dar por sentado.
El apoyo a proyectos Open Source es vital
Heartbleed también sirve para abrir un mini debate en torno al software libre. El tema generalmente sirve y da espacio para polarizar posturas, pero en lo que respecta estrictamente a OpenSSL y seguridad, no es sano que un sistema tan complejo y tan vital dentro del “mundo internet” esté en manos de muy pocas personas. Tal como escribe Steve Marquess, presidente de la Fundación OpenSSL, “debería haber seis empleados a tiempo completo trabajando en esto, y no solo uno”.
Lo sucedido con Heartbleed debería lograr que todos los involucrados realmente tomen conciencia de lo que significa la seguridad en internet. Ni vivir con paranoia sobre lo que significa “residir” en la red, ni tampoco tomar el asunto a la ligera y dejar todo abierto y desprotegido, “total el que quiera algún dato, lo conseguirá igual”.
PUBLICIDAD
Ideal sería también que haya más involucrados en proyectos como OpenSSL, considerando que este tipo de esfuerzos abiertos existen básicamente gracias a la buena voluntad de unos pocos. Y ahí es donde tanto individuos comunes y corrientes, grandes empresas y hasta los mismos gobiernos tienen mucho, demasiado que decir (y aportar).
Link: Speeds and Feeds