Recientemente salió a la luz un bug en OpenSSL que pone en riesgo la información de, aproximadamente, medio millón de sitios de Internet y que se estima ha afectado a ²⁄₃ del total de servidores del mundo. El bug tiene como nombre Heartbleed y representa una de las fallas de seguridad más graves de los últimos tiempos, pues ha estado presente durante 2 años sin que nadie la hiciera pública, lo que significa que una enorme cantidad de datos personales, como nombres de usuario, contraseñas y números de tarjetas de crédito de quienes usamos Internet, pueden haber sido recopilados por terceros.
Al leer esta información, entre las primeras preguntas que vienen a la mente están ¿qué es Heartbleed y cómo me protejo? A continuación, detallamos los aspectos más importantes de esta falla de seguridad y explicamos qué puedes hacer al respecto.
¿Qué es OpenSSL?
Para entender este bug, primero veremos qué es OpenSSL (Open Secure Socket Layer). Se trata de un software que maneja la seguridad de muchos de los sitios de Internet al cifrar los datos que se intercambian entre el navegador y los servidores web con el propósito de mantener segura la información en el camino entre ambos puntos.
En otras palabras, transforma los datos que envías o recibes en un mensaje codificado que sólo el receptor sabe descifrar, de manera que si alguien externo tiene acceso a la conversación, únicamente verá un conjunto de caracteres aleatorios, no la información de tu correo, de Facebook o el número de tarjeta de crédito. Cuando visitas un sitio seguro tal vez hayas notado que al inicio de la dirección se encuentran las siglas https acompañadas de un pequeño candado. SSL es la “s” al final de este acrónimo y significa seguridad.
¿Qué es Heartbleed?
Heartbleed es un bug que se mantuvo escondido a lo largo de 2 años en algunas versiones de OpenSSL (de 1.0.1 a 1.01f), las cuales se integran en muchas distribuciones del sistema operativo Linux. El error permite a hackers evadir el cifrado y leer y capturar datos almacenados en la memoria RAM de los sistemas protegidos por versiones vulnerables. Esto significa que si alguien conocía esta importante falla de seguridad, tuvo desde 2011 para explotarla y extraer una enorme cantidad de datos de importantes servicios de Internet en secreto, pues su uso no deja rastro.
Cómo saber si esta falla me ha afectado
Una enorme cantidad de sitios usan este método de cifrado para proteger sus datos
De acuerdo con Codenomicon, la compañía de seguridad que descubrió el bug, es probable que estés afectado por esta falla ya sea directa o indirectamente, pues OpenSSL es la librería criptográfica de código abierto más popular en el mundo y es empleada por redes sociales, sitios de diversas compañías, servicios de correo e incluso, páginas gubernamentales. Un estudio reciente de la firma de seguridad en Internet Netcraft, estima que 66% de los sitios de Internet son potenciados por tecnología construida alrededor de SSL. Entre las principales páginas afectadas se encuentra la mayoría de los servicios de Yahoo, el sitio de citas OKCupid, la página del FBI e Imgur, un servicio usado para manejar las imágenes de sitios como reddit. Cabe mencionar que Yahoo asegura haber solucionado la falla de seguridad en muchos de sus servidores.
¿Cómo puedo protegerme de Heartbleed?
Nuestra primera recomendación es que revises esta lista en donde se muestran varios sitios importantes que fueron vulnerables antes del 8 de abril; si tienes cuenta en alguno de ellos, tus datos están en riesgo. Desafortunadamente, cambiar tu contraseña no arreglará el problema y podría empeorarlo porque la vulnerabilidad se encuentra en la memoria RAM de los sistemas, de manera que el nuevo password se alojará en ese sector del equipo y tu nueva información estará al alcance de quien pueda aprovechar el bug.
Si deseas cambiar tus datos, verifica con esta herramienta si el servicio ya está parchado, lo que significaría que puedes modificar tu información sin peligro. Aun así, te recomendamos no llevar a cabo transacciones delicadas en Internet durante los próximos días hasta que haya información puntual de la erradicación de Heartbleed.
Es importante mencionar que entre las compañías que aseguran haber solucionado el problema, se encuentran Amazon, Tumblr, Yahoo, Google y Etsy. Por su lado, Facebook y Twitter no han emitido información al respecto.
Deja tu comentario