Descubierto ‘Heartbleed bug’ el mayor fallo de seguridad en internet
Sepamos mucho o nada sobre seguridad informática, a estas alturas la mayoría de los usuarios de internet tienen claro que la seguridad de sus datos personales, contraseñas y demás datos de carácter protegido, es algo cada vez más importante, y que cuando un número considerable de expertos en la materia ponen la voz en grito sobre algo, es que hay que preocuparse. Pues justo esto acaba de ocurrir en las últimas horas, en concreto a causa de un bug serio recién detectado en OpenSSL, una de las bibliotecas de criptografía más utilizadas de la World Wide Web.
2311
El error de seguridad de internet denominado ‘Heartbleed bug‘ podría obligar a millones de usuarios a cambiar sus contraseñas, ya que sus datos en redes sociales y sus tarjetas de crédito podrían ser vulnerables a los ataques de piratas cibernéticos que se hubieran hecho con esta información.
Metiéndonos en materia, el fallo de seguridad, ha sido descubierto por un grupo de investigadores que trabajan en Google y en la empresa de software de seguridad Codenomicon, el cual han bautizado con el nombre de Heartbleed. Afinando un poco más, el mismo nace de un error de implementación de la función heartbeat de OpenSSL (de ahí el nombre) y la gravedad radica en que estamos ante un bug de primer nivel, o sea que se puede explotar, en este caso para comprometer los datos y las comunicaciones de los usuarios de sitios web, correo electrónico, aplicaciones de mensajería instantánea o redes virtuales privadas.
Tan peligroso es el asunto que los descubridores han lanzado una página dedicada por entero a desgranar el bug y a responder preguntas relacionadas con él. Por ejemplo, en ella explican que la vulnerabilidad en el popular sistema de seguridad OpenSSL, permite que cualquier atacante pueda leer la memoria de los sistemas protegidos por las versiones vulnerables de la biblioteca -desde la 1.0.1 hasta la 1.0.1f incluida- y como consecuencia de eso extraer las claves secretas utilizadas para identificar a los proveedores legítimos de servicios y cifrar el tráfico, los nombres y contraseñas de los usuarios y demás.
¿Y qué significa todo ello? Os estaréis seguramente preguntando. Pues entre otras cosas, a nivel de usuario que si alguien ataca algún servicio/aplicación web o cualquier otra cosa que proteja la información sensible con alguna de las versiones vulnerables de OpenSSL explotando el bug que nos ocupa, podrá capturar y desencriptar desde nombres de usuario hasta contraseñas pasando por tarjetas de crédito o conversaciones. O también hacerse pasar por un sitio legítimo sin que el navegador web lo detecte y engañar al usuario (por ejemplo si la banca online de X entidad usara OpenSSL y un tercero robara sus llaves, ese tercero podría montar una web-clon de la banca que haría llegar a los usuarios y si alguno accediera, el navegador lo detectaría como el auténtico).
Por desgracia los usuarios nada podemos hacer para protegernos, todo está en manos de los administradores de sistemas. Esperemos que la mayoría ya estén instalando la última versión de OpenSSL lanzada este lunes mismo en la que se ha corregido el error, y si eres uno de ellos y aún no lo ha hecho, por el bien de todos deberías instalarla lo antes posible.
Este fallo, que existe desde hace dos años pero que solo fue identificado el pasado lunes, dejó expuesta la información de millones usuarios.
Desde Limonada Estudio siempre recomendamos cambiar todas las contraseñas de vuestros accesos a servicios de internet como email, banca online, etc., de forma habitual, sin embargo, cambiar las contraseñas en este caso no serviría de nada, de acuerdo con estos expertos, hasta que los servicios afectados instalen el software puesto a disposición el lunes para corregir el problema.
Ahora la responsabilidad recae en los servicios de internet afectados por Heartbleed, que deben alertar a sus usuarios sobre los riesgos potenciales para hacerles saber cuándo ha sido instalado el software para corregirlo a fin de que puedan cambiar sus contraseñas.
Por su parte, Yahoo anunció el pasado martes que ya le había puesto un parche a este fallo después de haber sido incluida la compañía en una lista de las páginas que todavía estaban expuestas.
Además, gigantes como Google, Facebook, YouTube, Twitter, Blogspot, Amazon, WordPress y Pinterest, que usan OpenSSL, también dijeron haber solucionado el fallo en sus códigos de seguridad.
