Cuando este mes de marzo se reveló un fallo grave del cifrado que asegura los sitios web, el investigador de la Universidad de Michigan (EEUU) Zakir Durumeric, fue el primero en conocer la gravedad del asunto. Escaneando cada dispositivo en internet se dio cuenta de su potencial pleno, antes incluso que los investigadores que habían identificado el fallo, conocido como FREAK.

"Antes de hacer el escaneado había dudas sobre la forma correcta de responder",  afirma Durumeric.

Después de hacer el escaneado no quedaron dudas.  Mostró que había más de cinco millones de sitios afectados, entre ellos los gestionados por el FBI, Apple y Google. El botón de me gusta de Facebook, un elemento habitual de muchos sitios populares, también era vulnerable. Estos resultados dieron lugar a un esfuerzo urgente pero cuidadoso de informar a empresas y organizaciones clave antes de anunciarlo públicamente.

El fallo FREAK permite a un atacante romper una conexión segura entre dos navegadores web y un sitio vulnerable consiguiendo acceso a los datos cifrados que se envían entre los dos. El ataque funciona obligando a los sitios a pasarse a una forma débil de cifrado que era la impuesta por obligación por el gobierno de EEUU en la década de 1990.

Durumeric dirige a un equipo de investigadores en la Universidad de Michigan que ha desarrollado un software de escaneado llamado ZMap. Esta herramienta puede sondear todo el internet público en menos de una hora revelando información sobre los aproximadamente 4.000 millones de dispositivos que hay conectados. Los resultados sirven para mostrar qué sitios son vulnerables a fallos de seguridad concretos. En el caso de FREAK, se usó un escaneado para medir la escala de la amenaza antes de dar conocer el fallo de forma pública.

El profesor adjunto de la Universidad Johns Hopkins, Matthew Green, que había recibido un aviso sobre la existencia de FREAK por parte de sus descubridores, se puso en contacto con el equipo de ZMap, un equipo de investigadores de Microsoft, el Instituto Francés de Investigación ne Computación y Automatización y el Instituto de Software IMDEA de Madrid.

Green explica que los resultados del escaneo le ayudaron a decidir a quién había que avisar, asegurándose así de que el anuncio público no dejaría grandes trechos de internet en riesgo. "Nunca habíamos tenido datos tan buenos" , afirma Green. "Puedes averiguar exactamente quién está roto y decirle a la gente exactamente cómo de mal está la cosa. Cuando Zakir hizo el escaneado fue cuando supe que era grave".

Durumeric y los miembros de su equipo desarrollaron ZMap a finales de 2013. Antes de eso, el software utilizado para escanear internet tardaba semanas o meses en hacer el trabajo. "Las herramientas disponibles eran mil veces demasiado lentas", afirma Durumeric.

El primer proyecto de importancia para ZMap fue seguir el impacto del fallo Heartbleeed, un fallo en un software de encriptado de uso generalizado que se descubrió en abril de 2014 (ver Heartbleed será irreparable en muchos dispositivos). Los investigadores escanearon regularmente en busca de sistemas vulnerables al fallo y publicaron un listado de sitios con las web más populares que no se habían arreglado junto con la información para resolver el problema

Durumeric afirma que este esfuerzo sirvió presionar a las empresas para que arreglasen sus sistemas. El grupo incluso intentó enviar correos electrónicos automatizados informando a las empresas de que tenían una infraestructura vulnerable y ofreciendo consejos sobre qué debían hacer. Experimentos controlados demuestran que las notificaciones supusieron una diferencia medible, según el profesor de la Universidad de Michigan Michael Bailey, quien también trabaja en el proyecto.

El equipo planea empezar a emitir notificaciones parecidas para FREAK pronto. También está usando escaneados para hacer un seguimiento de cuánto tiempo se tarda en limpiar FREAK y fallos graves parecidos del sistema. Ahora mismo aproximadamente un 1% del millón más importante de sitios web sigue siendo vulnerable a Heartbleed, explica Durumeric, un año después de que se revelara su existencia.

Un motivo por el que fallos conocidos se mantienen es que las empresas no logran darse cuenta del grado el problema que tienen, afirma el director de Investigación de la empresa de seguridad Rapid7, HD Moore, que usa ZMap para sus propios escaneos. "La mayoría de las empresas son completamente inconscientes de al menos un 10% de sus valores en internet público", afirma. Los escaneos hechos con ZMap pueden ayudar a las empresas a encontrar infraestructura vulnerable.

Moore empezó a escanear internet usando software diseñado por él en 2012 (ver Qué pasó cuando un solo hombre puso a prueba todo Internet). Ahora dirige un proyecto más formal de escaneado en Rapid7, usando tanto ZMap como herramientas desarrolladas en la empresa.

Green afirma que Google ha empezado a hacer sus propios escaneados de internet. Los resultados se usan para programar el navegador Chrome para que conecte con más cuidado con aquellos sitios que suponen  un riesgo potencial, afirma.

Sin embargo, herramientas como ZMap no lo pueden encontrar todo. El software funciona contactando sistemáticamente cada dirección numérica posible para dispositivos de internet usando el protocolo más comúnmente usado, el IPv4. Eso se pierde la diminuta fracción de dispositivos que usan direcciones bajo un sistema más nuevo conocido como IPv6, que tiene demasiadas direcciones posibles como para poder escanearlo de forma completa y cuyo peso es creciente. Los escaneados de ZMap tampoco llegan dentro de las redes privadas, como los sitios intranet de las empresas o los dispositivos conectados a redes móviles.

Aún así, Green afirma que ZMap y otro software de escaneado proporciona una imagen muy necesaria, aunque a veces poco halagüeña del estado de la infraestructura de internet. "Cada vez se nos da mejor, pero hemos empezado desde muy abajo", afirma.