Siguen saliendo a la luz informaciones sobre la inseguridad de los sistemas informáticos que ponen los pelos de punta. El lunes, Google difundió un punto débil en el sistema de cifrado que utiliza para sus conexiones seguras (OpenSSL), un problema que también han tenido compañías como Yahoo y Amazon. Este agujero existe desde hace tres años y fue descubierto a finales de 2013 por un técnico de Google, y podría haber permitido a hackers robar contraseñas de los usuarios.
El problema afecta a las direcciones que empiezan por “https”, una de las marcas de seguridad cuando navegamos por Internet y que se activa cuando una página requiere del usuario datos confidenciales como contraseñas o números de tarjeta de crédito. El fallo ha sido bautizado en inglés como Heartbleed.
Según una información que publica el diario El País, los expertos en seguridad han llamado a la calma porque no hay razones para suponer que la seguridad haya sido violada desde que el agujero existe. OpenSSL es un sistema de seguridad utilizado por algunas de las principales web que existen, y por más de la mitad de los servidores. Por su parte, Ricardo Galli, fundador de Menéame, rebaja los servidores afectados a unos 500.000.
Además, OpenSSL es un programa de código abierto, lo que significa que cualquier programador puede cambiar su código, aunque no puede hacerlo tan libremente como se cambian, por ejemplo, los artículos de Wikipedia. Además, lo usan desde Yahoo, Google, Facebook o Amazon, hasta la plataforma de conexión segura Tor, pasando por la plataforma de juegos Steam. Según la información de El País, un problema en este ámbito podría haber dejado sin cobertura de seguridad a millones de usuarios que almacenan los datos de sus tarjetas bancarias en páginas de pago, o que utilizan el e-mail o los mensajes instantáneos de estos proveedores globales.
Los bancos también pueden haber resultado afectados, puesto que utilizan este método de cifrado. Sin embargo, las entidades financieras suelen añadir otras herramientas de seguridad complementarias a la contraseña. Según El País, LaCaixa ya ha dicho que sus servidores usan una versión de Open SSL que no ha sido afectada.
