¿Cómo se descubrió el mayor error de seguridad en Internet?

Codenomicon, una empresa con sede en Finlandia, descubrió el error al hacer pruebas de estrés a varias aplicaciones de seguridad en línea.   Hace unos días se dio a conocer una falla en Open SSL, una de las aplicaciones seguridad más utilizadas en el mundo. El error había dejado vulnerables, durante poco menos de dos años, a miles de servidores en todo el mundo. El error, bautizado por Heartbleed por sus descubridores, los ingenieros de Codenomicon, permitió que cualquiera que contara con los conocimientos suficientes pudiera acceder a información sensible que se suponía sólo podía ser vista por el usuario y el servidor de destino donde se hospedaran los servicios a los que accedía, como el correo electrónico, los mensajes instantáneos y muchos servicios que requieren de encriptación, como los portales bancarios, por ejemplo. En entrevista telefónica con Forbes México, Bob Booth, director regional de ventas de Codenomicon para América Latina, explicó que la falla resulta particularmente delicada debido a la larga exposición, la facilidad de explotación, y el hecho de que ningún ataque real deja ningún rastro. El error en la versión de Open SSL (una app de código abierto que es prácticamente el estándar de encriptación de servicios en línea)  data de 2012, por lo que desde entonces existió ese hueco de seguridad en la aplicación, dejando una puerta abierta en cerca del 66% de los servidores de todo el mundo, explica Booth. El ejecutivo relata que el hallazgo lo hicieron tres ingenieros de Codenomicon Antti Karjalaine, Riku Hietamäki y Matti Kamunen, y casi al mismo tiempo y de forma separada Neel Mehta, de Google. El equipo de Codenomicon corría pruebas de estrés a varias aplicaciones web, entre ellas Open SSL, cuando detectó el error (bug, en lenguaje técnico informático) que permitía a un tercero tener acceso a información guardada en la memoria del servidor, como contraseñas, llaves de encriptación y otros datos de la sesión. Open SSL liberó rápidamente un aviso de seguridad y un parche, sin embargo, explica Booth, hay poco que puedan hacer los usuarios más allá de solicitar información a los proveedores de servicios sobre el alcance de la falla, de hecho, “no se recomienda cambiar las contraseñas de ningún servicio hasta estar seguros de que el error ha sido corregido”. Así, la mayor parte de la labor queda en manos de los proveedores de los servicios, quienes deben resolver el problema e informar el estatus de seguridad que guardan sus aplicaciones para todos los usuarios. Para ayudar a difundir la mayor cantidad de información posible sobre el bug, Codenomicon puso a disposición del público el sitio www.heartbleed.com, y de manera adicional hay otros servicios que pueden ayudar a los usuarios a saber si sus datos han sido comprometidos, entre ellos shouldichangemypassword.com que nos informa si el password de un correo electrónico ha sido visto por alguien más que el usuario y si debe o no cambiarse.