Seguridad

¿Qué pasará con OpenSSL tras Heartbleed?

code
Escrito por Marcos Merino

La comunidad de software libre se divide entre seguir apoyando al equipo de OpenSSL o lanzar un nuevo software que lo sustituya.

Durante los últimos días, la vulnerabilidad “Heartbleed” del protocolo criptográfico libre OpenSSL ha sido la gran noticia tecnológica del momento (definido como uno de los grandes agujeros de seguridad de Internet). Aun así, es un tema que por ahora no ha cesado de ofrecernos nuevos titulares.

Pasada ya la sorpresa, con las grandes webs afectadas habiendo reaccionado a la vulnerabilidad y habiendo recomendado a sus usuarios realizar un cambio de contraseñas… queda por saber cuál va a ser la reacción de la comunidad tecnológica al grave error de los desarrolladores de OpenSSL. Por lo que sabemos, las tomas de postura van a ser básicamente dos: la de apoyo (a través de la Core Infraestructure Initiative) y la de ruptura (a través de LibreSSL),

Core Infraestructure Initiative: apoyo de las grandes ‘puntocom’

Si algo ha evidenciado esta crisis es que algunos proyectos de software libre que hoy por hoy constituyen el núcleo de Internet no estaban siendo respaldados de acuerdo a su importancia: herramientas usadas por millones de usuarios (y grandes empresas) carecían de los medios materiales y humanos que desarrollaran con garantías su labor de mantenimiento del código. Así, Heartbleed ha servido como toque de atención para que Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace y VMware se agruparan en torno a la Linux Foundation para constituir la Core Infraestructure Initiative.

Este proyecto consistirá en un grupo directivo compuesto por representantes de las citadas compañías que trabajará en conjunto con un consejo asesor de programadores de código abierto para identificar y financiar proyectos de software libre necesitados de apoyo; un apoyo millonario (3,9 millones de dólares USA, más concretamente) que puede traducirse en becas para que algunos programadores puedan trabajar en sus proyectos a tiempo completo, o bien en financiación de las auditorías de seguridad, la infraestructura de pruebas o las reuniones presenciales de desarrolladores.

La iniciativa contará como primer (pero no único) beneficiario al proyecto OpenSSL, al que donarán 100.000 dólares al año durante los próximos tres años. “Deberíamos haber hecho esto hace tres años, siendo honestos”, ha declarado Jim Zemlin, director de la Linux Foundation.

LibreSSL: un ‘fork’ auspiciado por OpenBSD

Sin embargo, para algunos miembros de la comunidad de software libre el problema es mucho más profundo que la simple falta de medios.

Cuando se tuvo noticia de la vulnerabilidad Heartbleed, el equipo de OpenBSD (un sistema operativo Unix centrado fundamentalmente en la seguridad) decidió revisar al detalle el código de OpenSSL. Y no sólo encontraron más errores, como sería lo habitual en estos casos, sino que consideraron que tenían ante sí un código de tan mala calidad y lleno de fallos tan flagrantes que han declarado haber “perdido la confianza” en el equipo de OpenSSL.

¿Conclusión? OpenBSD ha anunciado un fork (nuevo software derivado del código de otro anterior) de OpenSSL, llamado LibreSSL (denominación que establece un paralelismo con un caso similar: OpenOffice y LibreOffice). Está por ver si ahora OpenBSD contará con los fondos suficientes para sacar adelante este fork (habida cuenta de los problemas que han tenido para financiar hasta ahora el desarrollo del propio sistema operativo), pero está claro que por ahora la comunidad pro software libre ha sabido reaccionar con rapidez y nuevas ideas a un grave problema, y que se ha avanzado en la toma de conciencia sobre los problemas de seguridad del software.

Imagen | De Yuri Samoilov

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.