Después de la ola de noticias sobre Heartbleed que inundó al internet esta semana, una de las mayores preocupaciones era que el fallo podría generar fugas de información sensible y privada en cientos de sitios web, dado que SSL -la llave universal de código abierto que protege los datos enviados a los usuarios- tenía ciertas debilidades. El hecho es especialmente peligroso, ya que si un atacante logra tener acceso a las claves, éstas podrían ser utilizadas incluso después de que el servidor sea parchado, permitiendo ataques por meses o incluso años.
Sin embargo, la empresa de desempeño y seguridad en internet, CloudFlare, anunció que es posible que Heartbleed no funcione como se creía después de todo. En dos semanas de pruebas, la compañía no fue capaz de acceder con éxito a las claves privadas con el mismo método que usa Heartbleed, lo que sugiere que el ataque no es fácil de efectuar. "Sí es posible, pero requiere mucho trabajo, es muy difícil”, escribió el investigador Nick Sullivan. "Y tenemos razones para creer que, de hecho, es imposible".
De ser cierto, Heartbleed parece menos peligrosa a ojos de todos aquellos que le temían. Sullivan reconoció que, en las pruebas de seguridad, algunas de las claves privadas habían sido reveladas al primer intento en peticiones a servidores Apache, pero vinculando esto con el proceso de reiniciar el servidor, limita severamente la exposición a agentes externos.
"Así que algunos de los peores temores acerca de Heartbleed, como que pudo ser utilizado por organizaciones como la NSA para obtener las claves privadas de todo el mundo, palidecen ante estas pruebas", señaló el CEO de CloudFlare, Matthew Prince, después de realizar exhaustivas pruebas.
Los investigadores han sido comprensiblemente cautos como para descartar la línea de ataque, ya que un falso negativo podría relajar a los operadores de servicios sobre la importancia de implementar parches de seguridad para garantizar que la información de los usuarios esté a salvo de hackers maliciosos.
