Tras hacer cundir el pánico y obligar al cambio de innumerables contraseñas, el fallo de seguridad Heartbleed prácticamente ha desaparecido de las noticias. Pero las implicaciones del descubrimiento aún se debaten en la industria de la computación. Lo más preocupante para los expertos de seguridad es cómo prever otros fallos que residen en los cimientos de internet.

El caso de Heartbleed fue detectado a principios del mes pasado en un software llamado OpenSSL que se usa de forma generalizada para establecer una conexión segura entre los navegadores web y los servidores, gestionando las claves criptográficas implicadas. OpenSSL es un proyecto de código abierto, lo que significa que el código subyacente se publica junto con el software. Además, al igual que en muchos otros proyectos de código abierto, el mantenimiento corre a cargo de un pequeño grupo de programadores voluntarios (ver "La seguridad de internet depende de un proyecto infrafinanciado")

Pero sólo ahora las grandes empresas de software que dependen de proyectos como OpenSSL empiezan a reconocer el problema. La Fundación Linux, que da apoyo para el popular sistema operativo Linux, acasba de lanzar un proyecto llamado Core Infrastructure Initiative para apoyar proyectos pequeños de código abierto. Por el momento numerosas empresas, entre las que se incluyen Google, Amazon, Facebook, IBM, Intel, Cisco y Dell, han puesto más de 3 millones de dólares (unos 2,2 millones de euros) en la iniciativa. Una junta directiva intentará identificar los proyectos de código abierto con mayores necesidades de apoyo financiero.

"El problema con el código abierto es que hay muchos usuarios que se aprovechan de su gratuidad", afirma el conocido experto en seguridad informática Chris Wysopal, director tecnológico y cofundador de Veracode, una empresa dedicada a evaluar la seguridad de las aplicaciones. "La gente y las empresas que lo usan, obteniendo un inmenso valor a cambio, no dan demasiado dinero para mantenerlo en marcha".

Incluso cuatro semanas después del descubrimiento del fallo, hay compañías que todavía están actualizando los servidores, instalado nuevos certificados criptográficos e indicando a los usuarios que cambien sus contraseñas. A los expertos les preocupa aún más el hecho de que otros componentes fundacionales de internet sean, igual que OpenSSL, proyectos de código abierto. Y cuesta saber a cuál de ellos le faltan los recursos necesarios para comprobar exhaustivamente su código en busca de vulnerabilidades.

Antes de que se descubriera el fallo Heartbleed, pocos habían oído hablar de OpenSSL o de los 11 desarrolladores que dedican gran parte de su tiempo voluntariamente al proyecto. La Fundación OpenSSL Software, que maneja los contratos comerciales de la organización, emplea a un único desarrollador a tiempo completo, recibió un total de 2.000 dólares en donaciones el año pasado (unos 1.440 euros) y nunca ha tenido más de un millón de dólares (unos 720.000 euros) anuales en ingresos por sus servicios de consultoría y mantenimiento.

"Debería haber, al menos, media decena de miembros a tiempo completo en el equipo de OpenSSL, no sólo uno, capaces de concentrarse en el cuidado y desarrollo de OpenSSl sin tener que andar buscando trabajo comercial", escribió el recaudador de fondos y contacto oficial de la fundación, Steve Marquess, en una entrada de blog publicada poco después de que se diera a conocer la existencia de Heartbleed. "Si estás en un puesto de responsabilidad en un gobierno o empresa, con posibilidad de tomar decisiones, haz algo al respecto, reflexiona sobre ello. Por favor".

El director tecnológico de Beyond Trust, una empresa de software de seguridad, Marc Maiffret, afirma que existen otros proyectos de código abierto que se enfrentan a problemas parecidos. "La gente da por supuesto que, porque algo es de código abierto, existe un esfuerzo mágico encargado de encontrar fallos y hacer que sea seguro. Pero suele empezar con un par de personas, quizá se hace popular y acaba... con un par de personas".

Wysopal de Veracode afirma que el problema clave es que no hay forma de medir la importancia de las distintas piezas de la infraestructura de internet. "Si alguien quisiera lanzar un ataque generalizado sobre muchos sitios, ¿qué componentes se usan de forma generalizada y están en el frente de la superficie de ataque?"

Al reto de predecir dónde pueden aparecer grandes vulnerabilidades se une el hecho de que cada vez más programadores de internet construyen su código usando una gama de herramientas diferentes. En un informe presentado el año pasado, una empresa llamada Aspect Security descubría que el 26% de las bibliotecas descargadas para su uso en aplicaciones tenía vulnerabilidades conocidas. "El problema es que hay muchísimos componentes de los que depende el software", afirma el cofundador y director tecnológico de Aspect, Jeff Williams. "Internet es un pajar lleno de agujas".