1

El estado de la seguridad en los sistemas de Código Abierto

Ciertas vulnerabilidades de alto nivel perpetradas recientemente han puesto el dedo en la llaga de la teoría fundamentada en que múltiples ojos de observación minimizan el problema. Sin embargo, dicha errónea afirmación ha servido de algún modo para dirigir el progreso en la seguridad del ecosistema del código abierto.

Desde la primera vez que entró en producción en el año 1999, GnuPG se convirtió en la herramienta de seguridad para código abierto más utilizada del mundo, protegiendo la comunicación del correo electrónico de todos miembros del gobierno norteamericano. No obstante, después de que un investigador de Google descubriese a Heartbleed, una vulnerabilidad localizada en un componente de OpenSSL, la comunidad software se conmocionó al conocer que el proyecto había sido responsabilidad de  quienes Jim Zemlin, director ejecutivo de la fundación Linux, calificó como “dos chicos llamados Steve” (los doctores Stephen Henson and Steve Marquess), dos doctores en  ingeniería informática que, en sus ratos libres, desarrollaban código maligno para mantenerlo vivo, todo ello compensado por un puñado de dólares cada año en contribuciones voluntarias.

A partir de ese momento, los grandes constructores de tecnología que confían en los sistemas open source se lanzaron rápidamente a proteger los derechos de sus proyectos desarrollados en OpenSSL, mientras que paralelamente Core Infrastructure Initiative, proporcionaba al creador de GnuPG una subvención de 60,000 dólares para ayudar al desarrollo de estrategias de protección en OpenSSL. Otras aportaciones financieras para apoyar a OpenSSL provienen de grandes compañías de la industria como Amazon, Adobe, Cisco, Facebook, y Google.

Heartbleed no ha sido el primer “bicho” asesino que surge en sistemas de código abierto, ya que la vulnerabilidad Apache Struts causó estragos más que serios el año pasado. No obstante y gracias al grado de histeria en el que entraron los medios de comunicación, Heartbleed podría haber sido el causante del descrédito de un famoso adagio que hace alusión a la calidad del código abierto, y que dice: “con la suficiente vigilancia, todos los bichos son pequeños.” A propósito de esta afirmación, gran parte de expertos en seguridad afirman que esta noción resulta más un deseo que la descripción de una realidad.