El bug Heartbleed de la librería OpenSSL continúa haciendo méritos para convertirse en una de las vulnerabilidades más importantes de la historia de Internet. Respondiendo a un desafío de la red de entrega de contenidos Cloudflare, dos hackers de guante blanco han probado que es posible extraer las claves SSL privadas de los servidores vulnerables, una demostración con graves implicaciones para la Red.
Cloudflare había declarado anteriormente que consideraba "poco probable" que las versiones de OpenSSL vulnerables al bug Heartbleed permitieran robar claves de sus servidores NGINX. Apenas 9 horas después de lanzar el desafío, los ingenieros de software Fedor Indutny e Ikka Mattila ya habían conseguido las claves que aseguran los datos enviados a los usuarios, tal como reconoció el propio CEO de la compañía calificando el descubrimiento de "excitante y terrorífico al mismo tiempo".
Esta demostración implica que incluso cuando un sevidor se parchea contra la vulnerabilidad, sus claves privadas se pueden seguir utilizando para acceder a la información enviada por el usuario salvo que el administrador actualice los certificados digitales. El desenlace del desafío demuestra el "peor escenario posible" respecto al peligro del bug y obliga a una renovación completa de contraseñas y de certificados digitales en ambas partes de la comunicación usuario/servidor en máquinas vulnerables.
Desde su publicación, el bug Heartbleed ha removido la confianza en la seguridad de Internet a todos los niveles. Esta madrugada Bloomberg informaba de que la Agencia de Seguridad Nacional de EE.UU. había utilizado esta vulnerabilidad desde hace años para extraer información de forma regular, una filtración que la agencia ha negado desde su cuenta de Twitter asegurando que "no tenían conocimiento" del bug.
Mientras tanto, varios sites están ofreciendo herramientas de comprobación y compilaciones de las webs más populares de Internet para conocer si son vulnerables. A nivel de usuario la opción más recomendada es un cambio total de contraseñas, pero únicamente una vez que se haya parcheado por completo el bug Heartbleed en servicios vulnerables.
