Un grave error de seguridad en internet pone en jaque a los gigantes del sector

Cuando empresas tan enfrentadas como Microsoft, Sun Microsystems o Cisco trabajan codo con codo es señal inequívoca de que algo serio le sucede a la industria. En este caso, negativo. Ha sido Dan Kaminsky, experto en seguridad de IOActive, el que ha levantado la liebre: «Hay un error en las DNS. Funcionan mal, todas las páginas web funcionan mal, todos los email van... a algún sitio, pero quizá no a donde se suponía.» El sistema de nombres de dominios (DNS, por sus siglas en inglés) es el protocolo por el cual un programa traduce una dirección textual (como ABC.es) en otra numérica (como 212.81.129.38), capaz de ser interpretada por la World Wide Web. Hace seis meses, Kaminsky descubrió por casualidad un fallo de seguridad que permitía relacionar cualquier dirección textual con otra numérica a espaldas de los gestores de la página web. Algo semejante a reordenar los datos de un hipotético listín telefónico mundial; al marcar el número de un vecino podría establecer, sin saberlo, una conferencia internacional.

Un error sin precedentes en la red por su tremenda difusión, casi universal. «No sólo afecta a Microsoft y Cisco, -subraya Kaminsky- sino a todo el mundo. Y exactamente de la misma manera». El principal riesgo para el usuario lo supone el phising o suplantación de personalidad en internet. Con un sistema de DNS vulnerable, el navegante no tiene modo alguno de saber quién está al otro lado del monitor cuando completa una gestión bancaria o recurre al comercio electrónico. Números de tarjetas de crédito, datos personales o claves de email pueden haber caído en manos de desconocidos si éstos han reparado antes que Kaminsky en el error del sistema. En el pasado el phising ya había hecho de la barra de direcciones del navegador su campo de batalla. Lejos quedaron aquellas pantallas que informaban al internauta de que la dirección que había introducido no existía, o no la había tecleado correctamente. En su lugar surgieron múltiples clones, sitios como Google o YouTube, creados ex profeso a imagen y semejanza de sus emulados con el fin atrapar al usuario despistado. Lo novedoso de esta variante de phising es la desprotección absoluta del navegante; escribir correctamente la dirección ya no supone una garantía.

Crisis con héroe

En virtud de la proporción, el mayor problema de seguridad que ha sufrido internet requería de unas medidas de la misma naturaleza. Una vez el experto de IOActive dio el aviso a las grandes empresas informáticas del mundo, éstas se pusieron manos a la obra. Durante medio año han colaborado intensamente, y en completo secreto, para tapar el agujero en la alambrada que separa al usuario del delicuente informático. Ayer Kaminsky se puso bajo el foco para tranquilizar a la sociedad: «Ya tenemos una solución para la mayoría de las plataformas. Todo está bajo control». Durante ésta semana y la próxima, los principales distribuidores de software comenzarán a parchear los sistemas domésticos.

La gestión que Kamisky ha hecho de la crisis podría calificarse de utópica. Para un experto en seguridad, hallar un bug de esta envergadura equivale a descubrir un galeón hundido lleno de doblones.