En un anuncio que promete revolucionar el ámbito de la seguridad informática, el equipo de desarrollo de OpenSSH ha lanzado la versión 10.0 de su famoso sistema de conectividad segura. Este lanzamiento, que tuvo lugar el pasado 9 de abril de 2025, representa una de las actualizaciones más significativas de la última década, gracias a sus innovaciones en seguridad, rendimiento y compatibilidad.
OpenSSH 10.0 es una implementación completa del protocolo SSH 2.0 y ofrece soporte para cliente y servidor SFTP, manteniéndose fiel a la colaboración activa de la comunidad que ha participado con aportaciones de código, informes de errores y pruebas ininterrumpidas. Sin lugar a dudas, una de las modificaciones más esperadas por parte de los especialistas era la supresión definitiva del algoritmo de firma DSA, considerado obsoleto y carente de seguridad en la actualidad. La actualización clausura un proceso iniciado en 2015 y solidifica el compromiso del equipo de OpenSSH con un entorno más seguro.
Una transformación vital también ha ocurrido en el servidor SSH (sshd), que ha separado el código de autenticación en un nuevo binario denominado sshd-auth, un cambio que busca reducir la superficie de ataque y optimizar la seguridad durante el proceso de autenticación. Además, el intercambio de claves ha sido revisado, con el abandono de los métodos Diffie-Hellman modp tradicionales en favor de opciones más eficientes como el intercambio basado en curvas elípticas (ECDH).
La seguridad post-cuántica se erige como el cambio más notable al nivel criptográfico, con la introducción del algoritmo híbrido mlkem768x25519-sha256. Esta nueva metodología de intercambio de claves fusiona curve25519 con una variante del estándar post-cuántico ML-KEM, posicionado a OpenSSH a la vanguardia de la protección contra amenazas cuánticas potenciales. En paralelo, el cliente SSH ha redefinido su jerarquía de cifrados, priorizando ChaCha20/Poly1305 y AES-GCM, sobre las versiones AES-CTR.
Los administradores de sistemas verán numerosas mejoras configurables que optimizarán su labor diaria, como el uso de patrones de glob en archivos críticos o las nuevas reglas Match que permiten un comportamiento condicionado. El lado del cliente tampoco se queda atrás con mejoras en la expansión de variables y una mayor flexibilidad para entornos dinámicos. Cambios significativos se han implementado en herramientas como ssh-agent y ssh-keygen, ampliando las funciones para trabajar con claves FIDO y mejorando la compatibilidad con dispositivos modernos como Windows Hello.
La nueva versión también resuelve diversos errores, especialmente una vulnerabilidad relacionada con la opción DisableForwarding, que no bloqueaba eficazmente ciertos reenvíos, además de problemas de rendimiento y fallos de compatibilidad que afectaban a sistemas big-endian.
OpenSSH 10.0 está disponible para su descarga desde los servidores oficiales, y los desarrolladores han ofrecido recomendaciones en cuanto a la verificación de las sumas de comprobación SHA256. Con este lanzamiento, OpenSSH no solo refuerza su posición de liderazgo en herramientas de conectividad segura, sino que también marca un paso crucial hacia un futuro más seguro y resistente a futuras amenazas.
