Por qué a pesar del Heartbleed, el open source está aquí para quedarse

Escrito por Rita —  mayo 19, 2014

open_source

El fallo de seguridad más grande en la historia de la Internet ha puesto el software de código abierto de nuevo en el orden del día.

Durante la última década, el código open source se ha ganado una sólida reputación por ser seguro y confiable. De hecho, puede ser más fiable que el código propietario debido a la ‘Ley Linus‘ -cuyo nombre hace honor al creador de Linux, Linus Torvalds. Esta ley dice que «dados los suficientes ojos, todos los errores son detectables». En otras palabras: si suficientes colaboradores examinan el software, se corregirán todos los errores y fallos de seguridad.

El agujero de seguridad conocido como Heartbleed, descubierto hace tan solo unas semanas, ha hecho que millones de personas se den cuenta de lo que un software de código abierto llamado OpenSSL había estado haciendo por ellos durante años.

OpenSSL es una implementación de código abierto de los protocolos SSL y TLS de seguridad que protege desde la mayoría de las conexiones a Internet o las cuentas de redes sociales, hasta la banca en línea y los proveedores de correo electrónico.

Recientemente, sin embargo, salió a la luz que una fuga de datos inesperada de un catálogo de un servidor había estado permitiendo que cualquiera tuviese acceso a datos sensibles en casi cualquier servicio de Internet.

[…] El pequeño icono de seguridad (HTTPS) en el que todos confiábamos para mantener seguras nuestras contraseñas, correos electrónicos personales y tarjetas de crédito, en realidad estaba haciendo que toda la información privada fuese accesible a cualquier persona que supiese explotarlo.

Tumblr, 8 abril de 2014

Hay quien ha especulado con la edad del error (la vulnerabilidad solo existe en algunos lanzamientos recientes). Si, además, se tiene en cuenta que solo está presente en software que cualquiera puede modificar, ha hecho que fuentes como The Guardian el pasado 9 de abril señalaran que «las agencias de espionaje gubernamentales, como la Agencia de seguridad nacional de Estados Unidos (NSA), que se sabe que tienen programas cuyo objetivo es recopilar datos de los usuarios, podrían haberlo insertado y explotado».

Si bien muchas compañías de Internet se sustentan en código libre, la integridad de esta tecnología depende de un número reducido de investigadores con financiación insuficiente que dedican su energía a estos proyectos.

Por el contrario, la NSA tiene miles de expertos dedicados a encontrar tales defectos mediante sofisticadas técnicas de análisis, muchas de ellas clasificadas. La agencia encontró el Heartbleed poco después de su presentación, de acuerdo con una de las personas familiarizadas con el asunto, y se convirtió en una pieza básica de la agencia para la sustracción de contraseñas y otras tareas comunes.

Michael Riley, Bloomberg News, 12 de abril de 2014.

La ‘Core Infrastructure Initiative’

Heartbleed no es un fracaso de la arquitectura del open-source y no hay absolutamente ninguna razón para creer que ocurrió porque fue mantenida por voluntarios. Si el software OpenSSL fuera una pieza de software propietario, podríamos inculpar a la compañía detrás del programa. Ya en febrero, cuando Apple detectó su propio error de seguridad SSL-TLS, la compañía fue duramente criticada por programadores y expertos en seguridad.

De hecho, un estudio reciente realizado por Coverity muestra que el software de código abierto tiene una densidad de defectos menor al de código propietario.

“En 2013, vimos que la calidad del código de fuente abierta supera la de código propietario en todos los niveles. No vimos una diferencia tan acusada en términos de calidad de los proyectos con más de un millón de líneas de código.”

Informe Coverity Open Source 2013 

Captura de pantalla 2014-05-18 a la(s) 13.37.33

Ciertamente, los desarrolladores voluntarios que mantienen la biblioteca Open SSL dijeron que solo han recibido 2.000 $ al año para mantener el código. Inspiradas por esta crisis, las grandes empresas de tecnología del mundo han visto una oportunidad para establecer un grupo de financiación de programas de código abierto como OpenSSL.

La Core Infrastructure Initiative es un proyecto de varios millones de dólares para financiar proyectos de código abierto que estén en la ruta crítica de funciones de computación básica.

La Fundación Linux

Los primeros participantes en el proyecto incluyen a Amazon, Cisco, Dell, Facebook, Fujitsu, Goole, IBM, Intel, Microsoft y NetApp, entre otros.

Cada una de estas empresas donará 300.000 $ para apoyar el desarrollo de OpenSSL, tener a los desarrolladores trabajando a tiempo completo y cubrir otros gastos, como auditorías de seguridad o gastos de viaje.

LibreSSL –una bifurcación de OpenSSL

Por otro lado, sin embargo, un grupo de voluntarios que no creen en parchear la tecnología actual del SSL, han anunciado recientemente su intención de desarrollar una nueva norma a partir de cero.

En el mundo de la programación esto se conoce como fork -una bifurcación que surge de las discrepancias dentro de la comunidad de desarrolladores en cuanto a la dirección que ha tomado un determinado proyecto.

Al igual que el paquete ofimático OpenOffice resultó en LibreOffice, los promotores de una nueva solución de código abierto para los protocolos de seguridad más utilizados han creado LibreSSL para tratar de superar al OpenSSL.

OpenExpo Day 2014

Afortunadamente, hay un montón más de iniciativas de software de código abierto y libre, que, al igual que OpenSSL, se llevan a cabo todos los días por todo el mundo.

En Madrid, la conferencia OpenExpo Day tendrá lugar el 26 de junio de 2014, con el objetivo de difundir el uso de la tecnología de código abierto y la promoción de la colaboración entre iniciativas de código libre.

Esta conferencia anual de un día reúne a desarrolladores y emprendedores, así como empresas como Joomla, Magento o MOOC. El programa incluye talleres, demostraciones y oradores clave internacionales como Firefox, Drupal y Symfony.

Las ediciones anteriores han concentrado a más de 950 personas en el evento, y a más de 1000 siguiéndolo por streaming a través del canal de Open Expo Day en Youtube. Este tipo de acontecimiento es de hecho el lugar perfecto para debatir la incursión de las corporaciones en el mundo open-source, así como otras noticias de actualidad del código abierto. Consigue tu ticket aquí.

Fotografía: Muffin

Rita

Rita

Posts

Translator, content writer and geeky linguist in general. I believe information is a powerful tool.