"Heartbleed": ¿En qué afecta a Colombia?
La falla de seguridad en internet afectó tanto a sitios populares en el mundo como a otros pequeños y locales en Colombia. Desde Facebook, hasta nuestras transacciones bancarias, fuimos igual de vulnerables.
El pasado 7 de abril el corazón de internet comenzó a sangrar. No se sabe cuántos ataques o robos de información se hicieron aprovechando la falla llamada "Heartbleed".
La herida estuvo abierta hasta la semana pasada, luego de pasar innadvertida durante más de dos años por la comunidad de desarrolladores de OpenSSL.
Open SSL es una librería de encriptación, básicamente un conjunto de herramientas usadas para permitir que haya conexiones y transacciones seguras entre servidores (entre el usuario y una página web) cuando se está haciendo algún intercambio privado de información (claves, pines, o login con redes sociales).
Robin Seggelmann fue el responsable de introducirla en un código defectuoso en diciembre de 2011. "Fue un error trivial, pero su impacto fue severo. "No fue mi intención, especialmente cuando yo mismo he arreglado errores anteriores en OpenSSL", dijo a un periódico australiano.
Desde claves para logearse en Facebook, hasta las de transacciones bancarias, financieras, y de pagos en línea, estuvieron en peligro de ser observadas por terceros (unas con más peligro que otras), debido a una falla de seguridad que se detectó en esta librería.
Hackers, o cualquier persona con algo de experiencia, pudieron haber detectado este bug (no se trata de un virus) y luego acceder a la información privada que cientos de los sitios web más visitados del mundo intercambian con sus usuarios.
OpenSSL, por ser código abierto, es usado para encriptar estas actividades en la mayoría de estos sitios, los cuales manejan datos personales de millones de personas. Por esto la gravedad de la falla, cuya noticia se propagó por todo el mundo en cuestión de minutos.
Muchos reconocerán qué significa OpenSSL al recordar el candado verde que aparece en la barra de dirección de su navegador (Chrome, Firefox, etcétera), antes del texto "https", cuando entran al home de un banco, por ejemplo.
¿Pero qué pasó en Colombia?
Siendo OpenSSL un estándar de seguridad en internet, gratuito además, es casi seguro que muchos sitios colombianos también estuvieron expuestos a este error sin saberlo.
Aunque "Heartbleed" se corrigió el mismo 7 de abril con una actualización, cualquier servicio global usado en nuestro país -lease Google, Facebook o YouTube; los más visitados en Colombia según Alexa-, debió suponer un peligro para quien se logeara en estos desde Colombia (o el mundo).
Transacciones de bancos, sitios de pago de seguridad social o pensiones, también fueron vulnerables y es necesario preguntar qué tanto, a pesar de que sea imposible medir o estimar si hubo daños, cuántos y cómo.
En el mundo, por el contrario, cientos de medios investigaron sobre el tema, que se viralizó, en parte gracias a la empresa finlandesa que descubrió el bug :Codenomicon (Neel Mehta, un ingeniero de Google también lo hizo por su cuenta).
Liderados por David Chartier, la empresa diseñó un logo para facilitar el reconocimiento de la falla y registró el sitio heartbleed.com. ¿Nació acaso el mercadeo de fallas de internet? ¿Aparecerán más solo por la publicidad que puedan generar a quienes las encuentren? Ese es otro tema.
Por ahora, en lo que nos concierne, presentamos una entrevista con el arquitecto de infraestructura en la nube, Maciek Ruckgaber, para saber qué tan preocupados debemos estar los colombianos con "Heartbleed".
Hablamos sobre qué servicios afectó directamente, cómo protegernos y qué debemos hacer para mitigar en el país el impacto de este tipo de fallas en el futuro.
Logo oficial de "Hearbleed", creado por Codenomicon, la empresa finlandesa que descubrió la falla.
¿Primera imagen viral en su tipo anunciando un bug?
Si usted fuera un hacker malintencionado, qué podría ver, a qué información podría acceder, o qué podría tomar sin permiso, aprovechándose de "Heartbleed" en una transacción bancaria, o de un correo electrónico o login de Facebook o Twitter?
Un atacante que intercepte las comunicaciones entre nuestro navegador y un servidor remoto, podría acceder a toda la información que intercambiemos con dicho servidor: nombres de usuario, contraseñas, la información presentada por el sitio, la información que enviamos en un correo electrónico o en un mensaje de chat. El problema se presenta para todos los servicios que realicen encripción via SSL/TLS basados en la librería OpenSSL, esto es servidores apache, nginx, múltiples servicios de correo y mensajería.
¿En qué consiste la falla, qué aspecto de seguridad hace vulnerable y cómo?
Hoy día, la mayoría de sitios de internet realizan el intercambio de información de usuarios y contraseñas mediante conexiones cifradas. Esto es, cuando vemos en nuestro browser que una conexión es “https” (http secure) y vemos un candadito, podemos estar seguros de que la información transmitida entre nuestro navegador y el servidor del sitio web que estamos accediendo se intercambian de manera segura. Esto se hace intercambiado unas llaves criptográficas entre el servidor y el navegador antes de comenzar a enviar cualquier tipo de información. El bug Heartbleed, permite que un atacante pueda obtener del servidor web las llaves que se usarán para cifrar la información, permitiéndole leer toda la información cifrada que viaja entre el navegador y el servidor web. Esto quiere decir, que un hacker malintencionado que pueda interceptar la comunicación entre nuestro navegador y un banco, podría capturar todo el contenido intercambiado, desde nuestras contraseñas, hasta la información de la transacción que estamos realizando.
¿Qué tan grave es y qué tanto afecta “Heartbleed” al usuario colombiano de internet común y corriente?
Los servicios de internet para los colombianos no son distintos a otros. Se utilizan los mismos sistemas, las mismas librerías, y por la misma razón, se experimenta las mismas vulnerabilidades. Personalmente, creo que solamente casos aislados pueden ser atacados por el problema. El atacante tiene que tener de alguna manera acceso a la red del usuario para poder interceptar sus comunicaciones con un banco o un sistema de correo. Solo las grandes organizaciones o personas que manejan información considerada altamente confidencial serían normalmente el blanco de una persona u organización que quisiera aprovecharse del problema. Usar servicios como Google 2-step authentication (un paso de seguridad más en el logeo de correo electrónico) o los tokens que generan secuencias de números adicionales a la contraseña para ser accedidos (más que todo los bancos), si bien permiten que un atacante lea nuestras comunicaciones y vea la información que estamos navegando, no le permiten entrar por su propia cuenta. Si bien esto no es una solución, si impide que alguien entre a nuestra cuenta y realice transacciones.
¿Por la seguridad de qué servicios, portales o sitios en especial deberían preocuparse los colombianos luego de descubrirse la falla?
En general los servicios prestados por grandes compañías deberían ya estar a salvo. Las compañías internacionales ya han tomado las medidas necesarias para resolver el problema y han comunicado a los usuarios que recomiendan cambios de contraseñas. Los servicios más vulnerables son aquellos que no tienen un equipo técnico competente. Algunos pueden no haberse percatado del problema aún, y simplemente estos servicios pueden seguir vulnerables por un buen tiempo. Especialmente recomiendo cautela al ingresar a servicios creados por empresas independientes que puedan tener información de interés para algún grupo en particular: servicios de intranet con información confidencial, servicios de correo con proveedores locales, tiendas en línea locales, en especial si no han realizado un comunicado o puesto un mensaje que sugiera que ya han tomado las medidas necesarias para mitigar el problema que expone “Heartbleed”.
¿Qué otros?
Los servicios bancarios y el correo electrónico considero que son los servicios que mejor debemos proteger. Una alerta especial a los usuarios que usan la misma contraseña para todos sus servicios en internet. La probabilidad de que alguien saque provecho con “Heartbleed” de nosotros, disminuye si accedemos desde redes que no son fáciles de interceptar por un atacante.
¿Si bien los 10 sitios más visitados en Colombia son extranjeros o de social media, con excepción de El Tiempo, qué sitios locales han podido haber sido vulnerables y causar algún peligro para la privacidad, la información o las transacciones de los usuarios colombianos? ¿Bancos, entidades, gobierno?
Las conexiones con bancos, sistemas de pensiones, algunos sistemas de planillas, portales del estado donde hemos registrado información sensible son algunos casos. Esperaría que los sitios operados localmente comiencen a notificar a sus usuarios que las medidas correspondientes han sido tomadas, de lo contrario estamos todos en la oscuridad.
¿Qué recomendaciones de seguridad, alerta y de tomar acciones daría a los colombianos para protegerse de esta falla?
Lo primero, es revisar la información específica a “Heartbleed” que publique cada uno de los servicios con los que el usuario interactúa. Allí estarán descritos los pasos que el proveedor recomienda para que el usuario pueda usar el servicio de manera segura nuevamente. El caso más complicado es el de los servicios que no se pronuncian al respecto. En este caso mi recomendación es no conectarse a dichos servicios en redes que se puedan considerar comprometidas, o que tengan acceso público en general, por ejemplo cafés, restaurantes, centros comerciales, y redes con malas contraseñas. Una red inalámbrica con una contraseña no muy fuerte le permite a un atacante conectarse a la red y monitorear el tráfico, eventualmente interceptando la información que transita por allí. Todas las medidas que pueda tomarse para asegurar las redes inalámbricas para evitar intrusos indeseados en ellas pueden ayudar en alguna medida, aun cuando esto no resuelve el problema; solo se reducen las posibilidades de que cualquiera este interceptando nuestra información.
¿Por qué no ha habido un comunicado oficial al respecto acerca de la falla y sus implicaciones en Colombia cuando en Estados Unidos todos los portales y sitios grandes lo han hecho?
En Colombia desafortunadamente vamos mucho más lento en asuntos tecnológicos. Simplemente se sigue el ciclo normal. El auge de la nube ya alcanzó su pico en Estados Unidos, mientras que en Latinoamérica apenas está comenzando. La capacitación, la especialización profesional, y la creación de cargos enfocados en seguridad y buena prestación de e-services, es la única forma de mejorar tiempos de respuesta en este tipo de situaciones. Creo que es una oportunidad para que las empresas se cuestionen respecto al tiempo y dedicación que se invierte en estos aspectos. Una buena comunicación con los usuarios es también una parte importante de la solución.
¿Por qué se demoraron dos años en encontrar la falla?
Todas las librerías y aplicaciones tienen ciclos de vida. Esto es, evolucionan con el tiempo para hacerse mejores y ofrecer más y mejores características, ser más eficientes, etcétera. Si bien muchas librerías hacen grandes pruebas para verificar que funcionan correctamente, en ocasiones el proceso mismo de su evolución incluye nuevas fallas. Hay problemas difíciles de diagnosticar, salvo que alguien esté probando algo muy específico relacionado con el protocolo o la implementación misma. De manera que muchos problemas permanecen en la oscuridad, hasta que alguien decide hacer algunas pruebas específicas.
¿Por qué en tanto tiempo no se produjo un escándalo de hackeo masivo? Es decir, es “Heartbleed” tan grave como la han pintado?
El negocio del tráfico de información es un negocio que funciona mejor cuando no hay alarmas encendidas. Es muy posible que algunos grupos o personas estuvieran sacando provecho de esta vulnerabilidad. También es cierto que un hack (ataque) exitoso no levanta sospechas, así que pequeñas transacciones bancarias, pequeñas irrupciones sin hacer mucho ruido, pudieron ser explotadas durante este periodo de tiempo. Existen organizaciones dedicadas a buscar este tipo de fallas para negociar con información privilegiada, hacer espionaje, etcétera. Este problema se resuelve, pero seguramente existirán otros que aún no han sido detectados, bien sea a nivel de OpenSSL o cualquier otra librería, sistema operativo o aplicación. En mi opinión aumentará el número de intrusiones en la medida en que el bug es público y muchos script kiddies (hackers que lo hacen por diversión) intentarán usarlo como un juego. Los administradores de sistemas descuidados tendrán que pagar el precio de no actualizar sus servicios. Con el tiempo la mayoría de servicios serán parchados y el problema será historia. En general se necesita muy buen conocimiento de los protocolos y las implementaciones para descubrir este tipo de problemas. Normalmente hay personas dedicadas tiempo completo a buscarlas, y son quienes las detectan. Alguien que hace esto por hobby, simplemente tiene menos probabilidad de hacerlo.
¿También afecta la navegación segura por móviles y la navegación en estos por aplicaciones? ¿O se usan otros protocolos en estos casos?
El problema afecta todo tipo de dispositivos. En algunos casos, como cuando usamos las redes de los operadores celulares, es más difícil para un atacante interceptar nuestra información con los servidores con los que nos comunicamos, comparado con la dirección IP que se nos asigna al conectarnos a la red inalámbrica de una oficina, por ejemplo. Si bien esto no resuelve el problema, dificulta ataques a personas específicas que tengan acceso a información privilegiada.
¿Causará Heartbleed una pérdida de confianza en los protocolos de seguridad actuales de las páginas que los requieren por su naturaleza?
La magnitud del problema es únicamente evidente a usuarios con conocimientos técnicos. Los usuarios normales de servicios, seguirán las indicaciones que den estos a sus usuarios y seguramente el problema pasará de largo a la vuelta de unas semanas. Por otra parte, creo que posiblemente se invertirá dinero importante en el aseguramiento de librerías y software de uso masivo. Creo que este es el aspecto más positivo de todo este problema con el bug “Heartbleed”.
¿OpenSSL es de código abierto. Influyó esto en que la falla haya sucedido?
Existe un gran debate alrededor de si las aplicaciones open source son más o menos seguras que las aplicaciones propietarias. En mi opinión, las primeras tienen muchos más ojos encima y muchas más personas y empresas utilizándolas, ocasionando que se genere mucho ruido cuando se descubre este tipo de vulnerabilidades. A la vez que se ejerce más presión para que el problema se resuelva más rápido y algunas empresas destinan fondos para investigación adicional (Google, Amazon, Apple, entre otros). Las librerías propietarias pueden tener vulnerabilidades por años y solamente los atacantes que las descubrieron pueden explotarlas sin que sus fabricantes estén al tanto. El software comercial tiene un objetivo: producir dinero; probarlo y mejorarlo constantemente es rara vez una prioridad.