Día Nacional de la Seguridad Informática - Cómo los voluntarios solucionaron la peor vulnerabilidad de la Web

Es difícil recordar una época en la que comprar productos por Internet era poco más que una quimera. Ahora, las transacciones con tarjeta de crédito pueden transmitirse de forma segura a través de la web sin que los datos de nadie se vean comprometidos. Esto es posible gracias a un conjunto de herramientas de encriptación desarrolladas a finales de la década de 1990. OpenSSL se encargó de la complicada tarea de encriptar datos y facilitó a los desarrolladores de todo el mundo la adopción en sus programas. Y un pequeño equipo de voluntarios lo hizo posible. Sí, voluntarios.

Es difícil imaginar a grandes equipos de desarrolladores de todo el mundo contribuyendo con trabajo gratuito al mantenimiento de algunas de las herramientas de software más importantes del mundo. En muchos casos, contribuir con código a estos proyectos se considera un servicio público. Algunos de los desarrolladores son profesionales que contribuyen en su tiempo libre, otros son estudiantes que perfeccionan su oficio y otros son dios-sabe-qué.

Es justo preguntarse, ¿y si hay un fallo en OpenSSL? ¿Cuáles son los incentivos para que estos voluntarios no remunerados lo arreglen? No hace falta preguntárselo si tenemos en cuenta la historia de la "peor vulnerabilidad encontrada... desde que el tráfico comercial empezó a fluir por Internet".¹

El desarrollo de OpenSSL continuó prácticamente en la oscuridad. Fuera de los círculos de ingeniería de software y seguridad nacional, poca gente sabía siquiera lo que era. Pero el proyecto no tardó en recibir cierta atención nacional debido a un fallo apodado "heartbleed" descubierto por un ingeniero de Google. Heartbleed, si se explota, podría permitir a los piratas informáticos obtener datos confidenciales (como números de tarjetas de crédito y direcciones de correo electrónico) que se intercambian a través de la web.

Un consultor de seguridad del Departamento de Defensa estadounidense llamado Stephen Marquess, que también había contribuido con código al proyecto, ayudó a crear la Fundación OpenSSL con el fin de generar fondos para mantener vivo OpenSSL. Marquess hizo un llamamiento público de apoyo al equipo para evitar que futuros fallos escaparan a la detección durante tanto tiempo como lo hizo heartbleed:

"Estos tipos no trabajan en OpenSSL por dinero. No lo hacen por la fama (¿quién fuera de los círculos geek había oído hablar de OpenSSL hasta que "heartbleed" saltó a las noticias?) Lo hacen por orgullo artesanal y por la responsabilidad de algo en lo que creen".

Heartbleed resultó ser una bendición disfrazada. El descubrimiento del fallo generó más apoyo monetario para el proyecto OpenSSL. Pero el futuro puede deparar nuevas complicaciones. El modelo de negocio del código abierto -o la falta del mismo- hace difícil garantizar la financiación de proyectos importantes. Puedes hacer un donativo al proyecto OpenSSL a través de su sitio web, pero hay muchas más herramientas de software ahí fuera que carecen de apoyo para sobrevivir.

Si te interesa apoyar proyectos de código abierto, aquí puedes empezar:

• Encuentra el sitio web del proyecto o la página de GitHub
• Ver quiénes son los colaboradores
• Comprueba si aceptan donaciones
• Comparte el proyecto con otros
• Considera la posibilidad de convertirte en colaborador

InMotion Hosting despliega cientos de programas de código abierto de todos los tamaños y complejidades con sus productos de alojamiento y desea expresar su gratitud a las personas que, entre bastidores, lo hacen posible donando su tiempo y sus recursos intelectuales.

Los proyectos de código abierto nacen y desaparecen continuamente. Sin el apoyo de los voluntarios de la comunidad o un modelo de negocio sostenible, tu proyecto favorito podría desaparecer. Así que participa hoy mismo.