Hace ya dos meses que Google daba la voz de alarma ante el bug Heartbleed, una vulnerabilidad crítica de OpenSSL que pone en jaque la seguridad de gran parte de la Red. Sin embargo, pese a la reconocida urgencia del problema parece que a estas alturas el error de seguridad todavía está lejos de ser erradicado.
El investigador de seguridad Robert David Graham ha advertido este fin de semana desde su blog que más de 300.000 servidores siguen siendo vulnerables a Heartbleed. El analista ha realizado el estudio escaneando un único puerto de los servidores, por lo que la cifra todavía podría ser mayor.
Graham realizó el primer escaneo inmediatamente después del descubrimiento de Heartbleed, descubriendo 615.268 máquinas vulnerables en ese instante. Un mes después, el investigador repitió el experimento contabilizando 318.239 servidores expuestos a Hearbleed. La cifra del mes pasado tan solo se ha reducido actualmente hasta los 309.197 casos vulnerables, sugiriendo una relajación en el esfuerzo generalizado por tapiar el agujero.
Por si la amenaza de Heartbleed no fuese suficiente, The Guardian se hacía eco a principios de este mes de otra "vulnerabilidad de inyección CCS" en OpenSSL que podría ser "más peligrosa que Hearbleed". Esta serie de problemas en la librería de seguridad se podría haber cobrado su primera "víctima" tangible con el retraso del teléfono OnePlus One, según revelan algunas fuentes.
Ante esta abrumadora situación, Google ha decidido hacer borrón y cuenta nueva con el lanzamiento de "BoringSSL", un nuevo fork de OpenSSL que integra los más de 70 parches publicados hasta la fecha para el software original. Los de Mountain View han aclarado que no desean reemplazar a OpenSSL o LibreSSL, sino construir un proyecto con la seguridad como objetivo principal. La compañía planea ofrecer BoringSSL "próximamente" en el repositorio de Chromium y con el tiempo implementarlo en Android.
