«HeartBleed»: El mayor fallo de seguridad en internet se pudo haber evitado hace dos años

Según señala «The Sydney Morning Herald», el informático Robin Seggelmann fue el encargado en introducir nuevas características que fueron lanzadas en el OpenSSL 1.0.1 en 2012. OpenSSL, realizado para garantizar la seguridad de los datos se volvió en una herramienta peligrosa, gracias a este nuevo «bug», que ponía en riesgo información clave compartido a través de las páginas que lo utilizaran.

Seggelmann se ha defendido y ha dicho que él no introdujo deliberadamente. El informático alemán declaró que «desafortunadamente» la vulnerabilidad se le escapó a él y a quien debía revisar su trabajo. Apuntó en dicha entrevista que después de que él presentó el código, el error se deslizó debajo de la vista del supervisor «y se abrió camino a través de la rama de desarrollo del lanzamiento de la versión». Quien tuvo que revisar el proceso fue Stephen Henson.

Seggelmann considera que el fallo en realidad es «trivial» pero que sus efectos, por otro lado, son gravísimos. Apuntó que dicho fallo fue introducido en el código como un error y que no fue intencionado. «No hubo intencionalidad en lo absoluto, sobre todo porque yo mismo me había fijado en otros fallos de OpenSSL, estaba tratando de contribuir al proyecto», dijo al «Herald de Sidney».

El HeartBleed (corazón sangrante) se aprovecha de una vulnerabilidad del OpenSSl ubicada en la función HeartBeat (latido de corazón), de ahí su nombre. HeartBeat fue introducida por Seggelmann y permite, según relata «The Register », que los datos sean enviados de un extremo a otro de la conexión y que se cree una copia exacta de los mismos para verificar la seguridad de la conexión.

El error ocasiona que el servidor envíe datos fuera de la memoria en vez de enviar la copia exacta. Es decir, el servidor «sangra» información extra después de recibir los datos, según informa el medio «Business Insider».