openssl

OpenSSL con problemas financieros que pueden comprometer la seguridad de los usuarios

Debido a problemas financieros solamente cuatro programadores cuidan del protocolo OpenSSL, utilizado en la seguridad de los usuarios de Google y otras grandes empresas.

El año pasado, una brecha descubierta por los desarrolladores de Google asustó al mundo. Se trataba de Hearbleed, como se le conoció, y afectaba a OpenSSL, protocolo de criptografía, utilizado en millones de páginas web. Este mes, OpenSSL Software Foundation, organización a cargo del protocolo, anunció un gran paquete de actualizaciones que está causando controversias.

La institución dispuso un patch recientemente, pero los desarrolladores webs reclamaron que no tuvieron acceso previo al código de actualización, aunque la liberación anticipada a las actualizaciones críticas es bastante común y sirve para que los desarrolladores identifiquen posibles errores.

La organización alegó que se disponía el acceso anticipado a cualquier empresa, ello podría comprometer la seguridad, ya que los hackers tendrían tiempo para descubrir vulnerabilidades incluso antes que la actualización estuviese disponible oficialmente.  Un dilema enfrentado por quién usa biblioteca de códigos open source.

Sin embargo, el lanzamiento del patch reveló un problema mucho mayor: OpenSSL Software Foundation pasa por serios problemas financieros. La reciente actualización solo fue posible gracias a las donaciones de grandes empresas hasta por cuenta de Heartbleed, mientras que otra fuente de ingreso de la organización son los contratos de consultoría.

Con escaso dinero no se puede contratar al personal suficiente para la realización de tareas. Actualmente, solo cuatro personas son las responsables por el principal método de criptografía utilizado en internet.

Cabe indcar que la seguridad de OpenSSL afecta prácticamente a casi toda la web. Gigantes como Yahoo!, Facebook y Google utilizan la biblioteca de códigos para garantizar que los datos de los usuarios no sean robados por los delincuentes virtuales, razón por la cual en la medida que haya menos inversión para la manutención del protocolo, diversas brechas serán descubiertas, colocando así en duda su eficacia.