Ya hace algunos días que se descubrió el que según algunos es el error técnico de protección y seguridad más grande de todos los tiempos. El bautizado como HeartBleed (corazón sangrante en inglés) ha puesto en jaque a todo un séquito de empresas y comercios electrónicos que basaban su seguridad en los certificados SSL.

Si bien hace algunos días comentábamos cómo al poderoso Microsoft le habían robado alguno de sus certificados de seguridad para poder firmar el malware Zeus y que así se propagase con más facilidad, pocas horas después se descubrió un fallo en el protocolo de seguridad de código abrierto OpenSSL, el más utilizado para la creación y firma de los certificados digitales utilizados para las transacciones encriptadas entre ordenadores personales y páginas de comercio electrónico o servidores de correo electrónico.

El fallo, que viene estando presente desde la versión 1.0.1 publicada hace más de 2 años (concretamente el 14 de marzo del 2012) hasta la 1.0.1f y la 1.0.2beta, se ha descubierto ahora gracias a la colaboración de ingenieros de la compañía Google y de la empresa de seguridad Codenomicon y afecta a 2 tercios de las aplicaciones online dado que sus servicios se publican gracias a los servidores Apache y Nginx, que hacen uso de éste protocolo de comunicaciones.

Tras conocerse la noticia publicada desde la web oficial de OpenSSL conjuntamente con las actualizaciones necesarias para su arreglo, cantidad de empresas han tenido que cesar su comercio online hasta aplicar y comprobar el correcto funcionamiento de los parches publicados entra las que se incluyen por ejemplo Cisco Systems y Juniper Networks.

El problema que afecta a éste descubrimiento es muy grave ha explicado Kurt Baumgartner, investigador de la compañía de seguridad Kaspersky Lab, dado que el error detectado permitía poder capturar las comunicaciones encriptadas y desencriptar su contenido pudiendo hacer visible cierta información sensible como cuentas de usuario e información financiera como transacciones o cuentas corrientes incluso números de tarjetas de crédito.

Tan importante es el agujero provocado por éste defecto de programación que incluso la NSA, la agencia de seguridad nacional de los estados unidos, estaba haciendo uso de él para recopilar información de usuarios por toda la red, y aunque ésta información no ha sido confirmada por los responsables de la agencia, ya es conocido que el actual presidente, Barack Obama, está haciendo reformas legislativas que coharten los métodos utilizados por sus agencias gubernamentales para que no incumplan los derechos fundamentales de los ciudadanos, cosa que ya denunció el exagente de la CIA Edward Snowden.

Como usuarios poco podemos hacer dado que éste problema afecta a los servidores que albergan las aplicaciones afectadas por el problema que comentamos, lo que si debemos hacer, y muchas empresas afectadas están avisando de ello a sus clientes y usuarios, es proceder a cambiar todas las contraseñan de sitios web, sobretodo los que afecten a sitios de comercio o bancarios y así evitar la posibilidad del uso de claves hipotéticamente robadas para un uso futuro, cosa que desde Técnicos Web les animamos a hacer con la mayor brevedad posible.