Artículos

La NSA ha aprovechado el exploit de Heartbleed durante años

Heartbleed-bug

Heartbleed, probablemente el problema de seguridad informático más importante de la última década acaba de catapultar su nivel de gravedad después de que Bloomberg News haya confirmado una de las principales de muchos desde que se dio a conocer el exploit: que la NSA ha estado utilizando Heartbleed durante años. La agencia nacional de seguridad estadounidense conocería desde hace al menos dos años la vulnerabilidad, según los informes presentados. En lugar de reportar y dar a conocer el error, Heartbleed fue utilizado por meses para extraer información relevante tal como contraseñas, direcciones de correo electrónico y datos bancarios.

Heartbleed se introdujo de manera accidental tras una revisión de OpenSSL hace poco más de dos años, a comienzos de 2012. A la luz de la nueva información la NSA, que cuenta con todo una arsenal de dispositivos y personal encargados de comprobar la robustez de los sistemas de seguridad, habría sido consciente desde poco después del exploit y lo habría incorporado a su “llavero” habitual de operaciones y protocolos destinados a robar sistemáticamente contraseñas e información personal.

Hace 9 meses Edward Snowden, un ex-analista de la agencia, ponía a la misma en el ojo del huracán tras revelar PRISM, un programa de vigilancia masiva que estaba destinado a ciudadanos comunes y que además resultaba especialmente escandaloso porque implicaba la complicidad de grandes compañías de internet tales como Google o Twitter. Tras estas revelaciones, la noticia no sólo explota en la cara de la postura oficial de la NSA, que hasta ahora había sido la de “Velamos por la seguridad del estado” sino que además cuestiona sus prácticas y deja casi sin argumentos a cualquier tipo de defensa por parte del gobierno estadounidense.

A estas alturas y con su credibilidad medio destruida, la noticia llega como una sorpresa para muy pocos. Sin embargo y al tiempo abre otros interrogantes en la historia que son igual de relevantes: ¿Conocía algún hacker u organismo, aparte de la NSA, la vulnerabilidad de Heartbleed? ¿Hay actualmente fallos de seguridad tan graves como este esperando a ser descubiertos y que están siendo usados, en este mismo momento, por agencias de seguridad? La respuesta a las dos probablemente sea afirmativa y deja irremediablemente con una cierta sensación de impotencia a la hora de protegerse de manera efectiva en internet.

Es interesante también el doble papel que juega el Open Source en el escándalo Heartbleed. Por un lado es responsable indirecto de la vulnerabilidad y de sus implicaciones pero por otro también es cierto que jamás habríamos sido conscientes de su existencia si no fuese openware.