Doble factor protege a los usuarios del fallo calificado como ‘Mamut’

Un error de programación en OpenSSL posiblemente ha sido el peor caso de problemas de seguridad en la historia de Internet.
Un mal paso en la codificación de la extensión heartbeat de OpenSSL hizo que los datos encriptados quedaran abiertos y pudieran ser aprovechados por los hackers. Cualquiera puede participar en el proyecto de fuente abierta OpenSSL, y un programador alemán de computación que trabaja de forma voluntaria en el código, explica que adicionó esa vulnerabilidad de forma accidental.

Ingenieros de seguridad de Codenomicon y un investigador de Google Security tropezaron con el fallo Heartbleed, haciendo que cientos de miles de sitios web procedieran a codificar para taponear la fuga de privacidad.

Explicación sobre Heartbleed

Heartbleed fue un error– que ya ha sido arreglado– en el software OpenSSL utilizado a nivel mundial en los servidores web. OpenSSL codifica los datos que son enviados del servidor a los visitantes a la web. Incluye una función denominada heartbeat, que retorna algunos datos al navegador del visitante para hacer conocer que el sitio está listo y esperando por solicitudes.

Cuando funciona normalmente, heartbeat envía la misma cantidad de datos que recibió el navegador, como un eco. Pero el error Heartbleed adicionó una vulnerabilidad que le permitía a un hacker pedir que heartbeat retornara más datos, hasta 65,536 bytes del block de memoria del servidor.

Lo incluido en los datos devueltos por heartbeat varió de servidor en servidor y de sesión en sesión, pero como esto sencillamente está tomado de la memoria del servidor, puede haber incluido elementos que pueden ser útiles a un hacker, como por ejemplo, los nombres de usuario y contraseñas de recientes visitantes.

La falla se originó en diciembre de 2011. La versión de OpenSSL afectada se emitió pocos meses después, pero no fue hasta abril de 2014 que el mundo supo acerca de ello.

Aunque se vende una versión privada de SSL a las compañías, la versión de fuente abierta es gratis y es la que utilizan la mayoría de los servicios web para codificar tráfico. “Esto mostró que la seguridad subyacente de aproximadamente la mitad de los sitios de Internet estaba dañada”, dice Joe Siegrist, director general de LastPass, proveedor de gestión de acceso de identidad. “No solo se dañó la seguridad del transporte, sino que potencialmente existía una fuga de datos de los sitios afectados”.

Heartbleed impacta una capa fundamental de seguridad de Internet, que crea una vía segura entre el usuario y el servicio web.

Por causa de Heartbleed, muchos sitios que presuntamente tenían una conexión segura porque muestran “https” en su URL, realmente no han sido seguros durante los dos últimos años. Pudo existir acceso abierto a contraseñas y otros datos, y los ladrones posiblemente no fueron detectados.

Codenomicon rápidamente lanzó heartbleed.com para responder las preguntas del público y suministrar actualizaciones sobre el fallo, al que Siedrist llama “mamut”. Él dice que fue preocupante que un gran número de compañías reaccionaran con lentitud ante Heartbleed, pero que esto debía servir de alerta a los consumidores que utilizan la misma contraseña para múltiples sitios.

“Es como reutilizar la misma llave para cada cerradura, y tomar una foto de la llave y publicarla en Internet de modo que cualquiera pueda hacer una copia de ella”, dice Siegrist. “Espero que la lección que se saca de esto es que uno necesita utilizar un administrador de contraseñas.”

El amplio alcance del fallo puede conducir a un mayor uso de la autenticación multifactor, aunque Siegrist duda que se incluya en una gran cantidad de sitios. “Pienso que el multifactor es crítico para el administrador de contraseñas que usted utiliza, y potencialmente también para su correo”. Señala que la autenticación multifactor es fuerte tanto en los proveedores como en los usuarios.

“Le veo más valor a la identidad federada con alguien que está aplicando multifactor para el usuario final”, opina Siegrist. “De ese modo tienes un alto nivel de confianza en que ellos son quienes dicen ser, sin tener que someterlos a tu propio multifactor”.

¿Por qué demoró dos años?

“El fallo Heartbleed ha demostrado que todo lo que pensamos que era secreto en Internet, de hecho no es secreto”, comenta Andre Boysen, vicepresidente ejecutivo de marketing en la compañía proveedora de identidad SecureKey. “Heartbleed ha levantado el velo del modelo de seguridad de Internet y ha despertado una desconfianza colectiva”.

Está claro que los fallos no se detectan por el solo hecho de que el software de fuente abierta es de escrutinio público. Boysen piensa que el problema no se detectó inmediatamente porque puede resultar difícil ver las consecuencias de la interacción del software. Además, otros elementos pueden haber incidido en mantener la información privada.

“Toda la Internet está anclada en identificaciones secretas de usuario y contraseñas”, añade Boysen. “Lo que estamos viendo es que esa es una forma totalmente inadecuada de asegurar toda la información privada que requiere moverse a través de Internet”.

Boysen explica que este fallo muestra con qué facilidad pueden copiarse las contraseñas y no dejar huella de la violación. No hay forma de conocer cuántos ladrones encontraron la vulnerabilidad y sacaron provecho de ella.

“Todos hemos visto cómo funciona esa fábrica de embutidos que es la Internet de seguridad, y realmente asusta”, dice Boysen. “Tenemos que ir más allá de los secretos en Internet”.

Él considera que Heartbleed va a galvanizar la industria para que el acceso de usuario sea más fácil y fuerte. Esto incluye un renovado impulso hacia la aplicación de multifactor en Internet y en los dispositivos que la gente suele llevar consigo.

“Hay tantos usuarios que prácticamente copian las identificaciones y las contraseñas para múltiples sitios porque es la única forma en que pueden arreglársela”, señala Boysen, quien admite tener 300 identificaciones de usuario y contraseñas. “Pero yo no voy a configurar 300 sitios para utilizar autenticación multifactor. Es una molestia que no me voy a tomar”. Y añade que para los diez servicios que más frecuenta, estaría en disposición de utilizar multifactor, pero para el resto tendría que encontrar una forma de participar en un esquema multifactor compartido.

Él dice que si la autenticación multifactor hubiera estado aplicada en más servicios web, el impacto de Heartbleed habría sido mucho más reducido. Aún se habría fugado información privada, pero habría sido más difícil comprometer el acceso a muchas cuentas.

Antes que pueda producirse un cambio importante, multifactor tiene dos problemas que superar. “Uno es que es molesto para los usuarios”, explica Boysen. “El segundo es que para mí como usuario, yo no sé a quién le estoy entregando esa contraseña de un solo uso. Por eso, si hay ‘man in the middle’ se puede montar un ataque”.

Boysen considera que todos los servicios web deben implementar el multifactor, ya sea de forma directa o con un socio, y que pueden hacerlo en una forma que evite las molestias para los usuarios.

SecureKey avizora un futuro en que la seguridad de Internet opere en la misma forma en que lo hace una tarjeta de crédito.

“Yo puedo tomar una tarjeta de pago único, como una tarjeta Visa, e ir a cualquier comerciante en el planeta sin tener ninguna relación previa con él y comprar artículos en ese servicio web. Sin embargo, adondequiera que me dirija en Internet, te dicen ‘aquí está su identificación de usuario y su contraseña’”, señala Boysen. “Yo no voy a descargar 300 aplicaciones multifactor a mi teléfono. Así es que pensamos que el servicio web será más bien como los pagos en que selecciono mi proveedor de confianza”. El proveedor ayudaría a los usuarios a llegar a todos sus destinos en línea.

“Como con mi billetera real, si yo quiero tres tarjetas de crédito, puedo tener tres diferentes proveedores para segregar mi vida si quiero hacer eso. Si quieres ocho, puedes tener ocho”, añade Boysen. “Pensamos que esa es la forma en que este modelo va a surgir para hacer más fácil el acceso multifactor para los usuarios y más confiable para los servicios en la web, sin tener que situar multifactor en cada servicio en Internet”.

Desde Heartbleed acá, ha surgido una versión reparada de OpenSSL. Los desarrolladores pueden volver a compilar la versión fallida y eliminar la extensión heartbeat.