Investigadores de seguridad han descubierto un bug crítico en el popular paquete de seguridad OpenSSL que afecta potencialmente a dos tercios de los servidores de todo Internet. El defecto bautizado como Heartbleed Bug hace posible extraer datos de cualquier servidor que haga uso de una versión del software OpenSSL que haya sido lanzada durante los últimos dos años.
La explotación del bug permite obtener claves privadas de cifrado, abriendo el acceso a la totalidad del contenido de cada servidor sin interferencia de las medidas de seguridad. Dado el acceso a las credenciales privilegiadas los ataques que utilizan esta vía de entrada no dejan rastros en los equipos, por lo que no es posible conocer cuándo se ha aprovechado el fallo de forma activa.
El bug ha sido descubierto por miembros del equipo de Google y de la firma de seguridad Codenomicon que colaboran con el proyecto OpenSSL. Los responsables de la librería han publicado hace unas horas un parche de emergencia junto a una advertencia de seguridad recomendando la actualización inmediata de las versiones que van de la 1.0.1 a la 1.0.1f.
Pese a la rauda actuación del proyecto OpenSSL el informe de seguridad señala que, incluso con el parche, los servidores que utilicen estas librerías podrían seguir siendo vulnerables debido a la extracción de claves de usuario o certificados digitales. Del mismo modo se destaca que el largo recorrido del bug junto a la imposibilidad de detectar intrusiones no permite conocer el verdadero alcance de la vulnerabilidad.
OpenSSL es con mucha diferencia el paquete de seguridad de código abierto más popular de la Red y se utiliza como el motor de codificación por defecto para los servidores Apache y nginx, los cuales conforman el 66% de Internet según cifras de Netcraft. El software también acompaña a todo tipo de aplicaciones y sistemas operativos entre los que se incluyen las distribuciones Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD y OpenSUSE.