Voluntarios, los protectores de Internet

La fundación que supervisa el código que registró la falla Heartbleed, carece de personal y dinero; el software protege información bancaria, de redes sociales e incluso de sistemas bélicos.
heartbleed  (Foto: CNN)
Jose Pagliery
Nueva York -

El bug o falla Heartbleed reveló un hecho. El software que protege bancos, correos electrónicos, redes sociales y Gobierno, es mantenido por pocas personas.

Todos son voluntarios. Y sólo uno trabaja tiempo completo.

Su labor caritativa es OpenSSL, un programa gratuito que asegura muchas de las comunicaciones en línea. Y fue un pequeño resbalón en el código hace dos años lo que causó la falla Heartbleed, un agujero que permite a atacantes hackear las computadoras. El bug forzó a realizar cambios de emergencia la semana pasada en grandes sitios como Facbeook, Google y Yahoo.

Pero expertos en seguridad dicen que OpenSSL carece severamente de financiamiento, de personal y es ampliamente ignorado.

El fallo no fue detectado sino recientemente, porque OpenSSL Software Foundation no cuenta con los recursos propios para checar cada cambio en el software, el cual tiene ahora un código con una longitud de cerca de medio millón de líneas. Y aún así el programa resguarda una vasta porción de nuestro comercio y Gobierno –incluyendo sistemas de armamento y teléfonos inteligentes, de acuerdo con la fundación.

“El misterio no es que unos pocos voluntarios que trabajan horas de más no detectaron la falla; el misterio es por qué no ha pasado más seguido”, dijo el presidente de la fundación Steve Marquess en una carta pública.

Artículo relacionado: ABC sobre la peor amenaza de Internet

Cuando se pone en balance su importancia crítica en la seguridad de Internet, OpenSSL tiene un presupuesto muy reducido. Nunca ha recibido más de un millón al año, dice Marquess. El único apoyo federal que se enlista en línea fue una sola renovación de contrato por 20,000 dólares del Departamento de Defensa de Estados Unidos.

Mientras la fundación recibe dinero del Departamento de Seguridad Nacional, Citrix y otros, la mayoría de su financiamiento proviene de contratos específicos de trabajo a sueldo. Una compañía quiere añadir aquí una cierta característica, una función específica allá. Mantiene a sus desarrolladores ocupados. Pero Marquess dijo que no hay dinero que fluya para revisar el código o realizar auditorías.

De hecho, la única persona que trabaja tiempo completo es Stephen Henson, un matemático extremadamente privado viviendo en Inglaterra quien refirió a Marquess para comentar. Sólo un puñado de desarrolladores ayudan con regularidad, y Marquess dijo a CNN dijo que el total de su fuerza laboral puede ser dos trabajadores de tiempo completo.

Aun después de Heartbleed, la fundación ha recibido sólo 9,000 dólares –Marquess hizo un llamado a las compañías que usan OpenSSL gratis.

“Te estoy buscando, Fortune 1000 companies”, escribió.

A raíz de Heartbleed, esta carencia de financiamiento para OpenSSL puede ser un llamado de atención.

Emprendedores y corporaciones mayores frecuentemente usan el software de fuente libre porque es distribuido de manera gratuita. Pero raramente ellos contribuyen con dinero o con tiempo. Sin una ayuda, los proyectos de fuente abierta como éste corren el riesgo de explotar en nuestra cara, dijo el fundador de Azorian Cyber Security, Charles Tendell.

“Si compras tu carro y sabes que fue armado por voluntarios, ¿cómo te haría sentir?”, cuestionó Tendell.

Un grupo selecto de firmas provee algún tipo de ayuda. Facebook y Microsoft patrocinan un programa de recompensas para detectar fallos, HackerOne – esencialmente consiste en pagar a hackers para hallar errores que necesiten reparación. Y fue el analista de seguridad de Google, Neel Mehta, quien descubrió Heartbleed.

Otros están convencidos de que es tiempo de contribuir. La respuesta inicial del cofundador de la firma de seguridad en la nube Incapsula, Marc Gaffan, fue: “¿Qué esperas? Lo tienes gratis. Tienes lo que pagas”. Pero resulta que su compañía también depende de OpenSSL. Al ser cuestionado si podría dar el ejemplo, Gaffan prometió que su firma haría el primer donativo.

El reciente susto captó la atención de la Casa Blanca. La administración de Obama está ahora “tiene los ojos puestos en las herramientas usadas ampliamente como OpenSSL para ver si hay algo más que el Gobierno federal deba hacer –incluyendo apoyo en investigación y desarrollo-”, dijo la vocera del Consejo de Seguridad Nacional, Laura Lucas Magnuson.

Sin embargo hay un problema. El Gobierno no puede acercarse lo suficiente sin que dispare los temores de que busca vulnerar la seguridad de las comunicaciones en línea, especialmente después de que Edward Snowden revelara los programas de vigilancia de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés). El exingeniero de codificación de la NSA Randy Sabett, ahora un abogado privado de tecnología en la firma Cooley, prevé que la comunidad de fuente abierta será aprenisva.

“El público no quiere que el Gobierno se involucre en el diseño del Internet”, dijo. “No quieren que se coloquen puertas traseras”.

Ahora ve
Estos fueron los autos más vendidos en México durante 2017
No te pierdas
×