Un miembro del equipo de seguridad de Google, Neel Mehta, descubrió un error de programación en OpenSSL, el protocolo de código abierto en el que se basan las funciones criptográficas de casi todo Internet. El equipo de OpenSSL fue alertado y lanzó un parche de emergencia hace algunas horas.
Los especialistas en seguridad informática se refieren a este bug como Heartbleed, y aseguran que cualquier persona capacitada con conocimiento de él puede aprovecharlo para eludir los mecanismos de protección que operen mediante alguna de las versiones de OpenSSL publicada durante los últimos 2 años. Eso le daría a un atacante acceso a nombres de usuario, contraseñas, números de tarjeas bancarias, certificados, cuentas de correo electrónico, mensajes instantáneos, documentos críticos y todo tipo de información confidencial, como si no estuviese encriptada.
Lo anterior se debe a que Heartbleed confiere permisos para conocer datos sensibles que regularmente se almacenan en la memoria del sistema de servidores dedicados. La dificultad para llegar a ellos varía de acuerdo con la configuración especial de cada servidor. El software empleado para aprovechar la vulnerabilidad funciona mediante un error en una característica de OpenSSL conocida como Heartbeat (latido de corazón), de ahí que el bug reciba el apelativo Heartbleed (corazón sangrante).
De acuerdo con Codenomicon, una firma de seguridad informática, un individuo que obtenga ventaja de Heartbleed pasará inadvertido por el sistema y sus administradores; la compañía utilizó la falla para simular un ataque desde la perspectiva de su ejecutor. Entre los sitios en Internet que potencialmente están afectados por el hallazgo de Heartbleed se encuentran Twitter, Yahoo, Tumblr, Google, Steam Powered, GitHub, PostFinance, Regents Bank y cerca de medio millón más
Deja tu comentario