Seguramente has escuchado que mucha gente está preocupada por la seguridad en línea, ya que hubo un grave error que hizo que la información privada de muchas personas quedara desprotegida y al alcance de cibercriminales.

¿Qué es Cloudbleed?

Este fue el nombre que Tavis Ormandy, el ingeniero que descubrió la falla, le dio al incidente cuando lo reportó, el 23 de febrero. En esta ocasión, la información de miles de personas, incluyendo sus nombres de usuario y contraseña para servicios como Uber, Fitbit y algunos sitios de citas en lín¿ea, se filtró en Internet, de manera que cualquiera que supiera qué estaba buscando, los hubiera podido obtener. Esta situación fue bautizada con el nombre de Cloudbleed, ya que se originó en uno de los sistemas del servicio conocido como Cloudflare.

Cloudflare have been leaking customer HTTPS sessions for months. Uber, 1Password, FitBit, OKCupid, etc. https://t.co/wjwE4M3Pbk

— Tavis Ormandy (@taviso) February 23, 2017

¿Quién es Cloudflare?

Cloudflare es una empresa que brinda servicios de seguridad e infraestructura a millones de páginas web en el mundo, entre estas se encuentran Nasdaq, Bain Capital, OkCupid, ZenDesk y Cisco. Y aunque muchos no hayan escuchado el nombre, es probable que muchos de los sitios web que visitan diariamente utilicen los servicios de Cloudflare.

¿Qué sitios fueron afectados?

Al momento del reporte del problema sólo se citaron 3 compañías, aunque se sabe que existen muchas más, y al día de hoy, la información sigue siendo que Uber, Fitbit y OkCupid fueron impactados por este error, por lo que la información de sus clientes se filtró, sin embargo, Uber asegura que no se filtraron las contraseñas, por lo que las cuentas de sus usuarios se encuentran a salvo; OkCupid aseguró que el impacto fue mínimo y Fitbit dijo que sigue investigando la situación.

Our investigation into the Cloudflare bug has revealed minimal exposure, if any. More details >> https://t.co/lYN7nq2oGq

— OkCupid (@okcupid) February 24, 2017

¿Qué tipo de información estuvo en riesgo?

El problema es que, por el tipo de protección utilizada en este servicio, el bug hizo que información como nombres de usuarios, contraseñas, fotografías, partes de videos, texto y cualquier otro tipo de información que los usuarios hayan enviado a los sitios o servicios involucrados se filtrara a Internet.

El problema fue que toda eta información fue copiada por error, cuando esto no debería haber pasado y, el asunto se volvió aun peor cuando los motores de búsqueda de Yahoo, Bing y Google hicieron versiones caché de la información, por lo que cualquier usuario que la hubiera estado buscando la hubiera encontrado en segundos.

¿Cuánta gente estuvo en peligro?

Según la información revelada por Cloudflare el número exacto es difícil de saber, pero realmente fue un número bajo, ya que sólo .00003% de las solicitudes recibidas por su servicio fueron afectadas durante el periodo más fuerte, que fue entre el 13 y el 18 de febrero pasados.

¿Mi información sigue estando en peligro?

La respuesta es no, el problema de seguridad que originó Cloudbleed ya fue corregido y el peligro quedó atrás. Afortunadamente, Cloudflare encontró el problema 44 minutos después de recibir el reporte de Ormandy y, 7 horas después, avisó que este había sido arreglado. El problema, y lo realmente preocupante, es que esta situación afectó de manera activa a varios sitios desde septiembre del año pasado, sin embargo, la peor parte de este sucedió entre el 13 y el 18 de febrero de este año. Esto quiere decir que varias compañías siguen tratando de descubrir si sus clientes se vieron afectados y de qué forma.

No 1Password data was put at risk through the bug reported earlier today. https://t.co/S7G62Qw85Q

— Cloudflare (@Cloudflare) February 24, 2017

¿Puedo hacer algo para protegerme?

Básicamente lo único que puedes hacer es tratar de protegerte para el siguiente error, porque el daño causado por este ya está hecho. Tu mejor opción es cambiar tus contraseñas y hacerlas seguras (nada de nombres de mascotas ni fechas importantes para ti), además de utilizar la verificación de 2 pasos en cualquier servicio que la tenga disponible. Y si eres usuario de alguno de los servicios que resultó y que resulte afectado por Cloudbleed, podrías contactar a su servicio a clientes y comentar con ellos tus dudas e inquietudes y solicitar su ayuda.