A \u00faltima hora de la tarde, un viernes a mediados del mes de febrero, Apple public\u00f3 discretamente una soluci\u00f3n para un bug cr\u00edtico de validaci\u00f3n de certificados en iOS que b\u00e1sicamente podr\u00eda haber proporcionado a un cibercriminal la capacidad de espiar las comunicaciones supuestamente seguras.<\/p>\n
Aunque el bug fue cr\u00edtico, el anuncio tard\u00edo un viernes no podr\u00eda ser m\u00e1s inadvertido, pero as\u00ed es el procedimiento habitual de Apple. El gigante de la inform\u00e1tica con sede en Cupertino, California, es conocido por operar bajo un velo de secreto legendario.<\/p>\n
Sin embargo, las cabezas se volvieron y los intereses se despertaron al d\u00eda siguiente cuando se supo que el bug no s\u00f3lo afectaba el sistema operativo iOS<\/a> de m\u00f3viles Apple, sino tambi\u00e9n a su sistema operativo tradicional OSX<\/a>. La trama se volvi\u00f3 a\u00fan m\u00e1s espesa la semana pasada cuando se hizo evidente que un bug inquietantemente similar afect\u00f3 GnuTLS<\/a>, un programa de software libre y de c\u00f3digo abierto utilizado para implementar el cifrado en varias distribuciones de Linux y otras plataformas.<\/p>\n A medida de que m\u00e1s personas empezaran a tomar nota de los errores (sobre todo los de Apple), m\u00e1s y m\u00e1s medios de comunicaci\u00f3n e investigadores publicaron sugerencias de subterfugio. Bruce Schneier, uno de los mejores cript\u00f3grafos y expertos en seguridad del mundo, describi\u00f3 la vulnerabilidad del siguiente modo<\/a>:<\/p>\n \u201cEl error es sutil y dif\u00edcil de detectar durante el escaneo del c\u00f3digo. Es f\u00e1cil imaginar c\u00f3mo esto podr\u00eda haber ocurrido por error. Y habr\u00eda sido trivialmente f\u00e1cil para una persona aumentar la vulnerabilidad.<\/p>\n \u201c\u00bfSe hizo esto a prop\u00f3sito? No tengo ni idea. Pero si quisiera hacer algo como esto a prop\u00f3sito, as\u00ed es exactamente como yo lo har\u00eda. \u201d<\/p>\n Otros investigadores fueron m\u00e1s directos, exponiendo que los fallos de codificaci\u00f3n que llevaron al bug de Apple \u2013 apodado \u201cgoto fail\u201d \u2013 ser\u00edan casi imposibles de hacer y a\u00fan m\u00e1s dif\u00edciles de no notarse en el proceso de revisi\u00f3n de la codificaci\u00f3n. Por supuesto, dado el clima actual y la utilidad de la vulnerabilidad de \u201cgoto fail\u201d, muchos han especulado que tanto los errores de Apple como los de GnuTLS ser\u00edan muy valiososs para cualquier persona en el negocio de espionaje.<\/p>\n Aunque, sin duda coincidentes y similares en efecto, los bugs llegaron a existir de maneras muy diferentes. Otro experto de criptograf\u00eda, Matthew Green, de la Universidad Johns Hopkins<\/a>, examin\u00f3 el error GnuTLS y cree que fue un error \u201csincero\u201d \u2013 aunque tonto \u2013 de codificaci\u00f3n.<\/p>\n Dejando aparte todas las conspiraciones, este bug de validaci\u00f3n de criptograf\u00eda en GnuTLS significa que todos los productos de escritorio y de servidor de Red Hat, as\u00ed como todas las instalaciones de Debian y Ubuntu (Linux) contienen un error que podr\u00eda ser usado para rastrear las comunicaciones que tienen lugar en esas m\u00e1quinas. Los efectos de este bug afectan a los sistemas de abajo hacia arriba. No solo las sesiones seguras de navegaci\u00f3n web (indicas por \u2018HTTPS\u2019) podr\u00edan verse afectadas, tambi\u00e9n aplicaciones, descargas, y realmente cualquier otra comunicaci\u00f3n supuestamente encriptada que utiliza GnuTLS para su implementaci\u00f3n.<\/p>\n Para que quede claro, un cibercriminal tendr\u00eda que estar en una red local con su objetivo para poder aprovecharse de cualquiera de estos bugs. Sin embargo, bajo las circunstancias apropiadas, los bugs podr\u00edan permitir a un hacker realizar un ataque man-in-the-middle<\/a>, donde la v\u00edctima cree que est\u00e1 comunicando con un proveedor de servicios online de confianza, pero en verdad est\u00e1 enviando paquetes de datos a un cibercriminal en la red. Ambos bugs proporcionan una manera genial para robar las claves de acceso y vigilar las comunicaciones de la red local.<\/p>\n