16 abril 2014

Heartbleed Un fallo de seguridad de difícil evaluación

El fallo de seguridad Heartbleed, conocido como el mayor hasta la fecha, puso en alerta no sólo a los expertos en seguridad, sino también a los usuarios, que han visto cómo sus datos y contraseñas quedaron expuestos sin que hubiera forma de saberlo.

Los sitios web intentan solucionar el problema de este inédito error informático y los usuarios, asustados, se preguntan si deben cambiar o no sus contraseñas para evitar el robo de sus cuentas de correo electrónico, números de tarjetas de crédito y otra información confidencial.

¿Qué es Heartbleed?

Heartbleed (corazón sangrante, en español) es un fallo que afecta a los códigos OpenSSL, muy usados para la encriptación de datos en Internet. Data de 2012 y recién ahora fue descubierto. Esto permitió que un tercio de los sitios web mundiales quedaran vulnerables al robo por parte de hackers, lo que los expertos dicen es una de las brechas de seguridad más graves de los últimos años, aunque la magnitud de los daños resulta difícil de evaluar.

Esto significa que el ícono de un candado pequeño (Https) que se ve a la izquierda de la barra del navegador y en el que se confía para mantener las contraseñas de correos electrónicos personales y tarjetas de crédito seguras, en realidad está “abierto”.

Esto pone al alcance de cualquier hacker el acceso a unidades de información privada y protegida alojadas en servidores que usaran la codificación OpenSSL.

El fallo fue localizado por ingenieros de Google y de la empresa de seguridad informática Codenomicon. Los responsables de OpenSSL dieron a conocer el problema y publicaron una actualización que lo soluciona.

A priori, afecta a las versiones posteriores a marzo de 2012 del programa Open SSL, por lo tanto, también a servidores de correo y accesos remotos de banca "online".

Los errores en el software van y vienen, son reparados por nuevas versiones. Sin embargo, este error dejó gran cantidad de claves privadas y otros secretos expuestos. El experto en seguridad Brue Schneier describió a la BBC como "catastrófico". "En la escala de uno a 10, es un 11".

Los investigadores de seguridad que descubrieron la amenaza están particularmente preocupados por el hecho de que no fue detectado durante más de dos años. Por eso temen la posibilidad de que los piratas informáticos pueden haber estado explotando en secreto el problema antes de su descubrimiento.

Tras conocerse este fallo, la agencia de inteligencia de Estados Unidos conocida por sus siglas en inglés NSA, negó tener conocimiento de haber usado la vulnerabilidad producida por Heartbleed para espiar a miles de usuarios o robar contraseñas. El caso es que la lista de víctimas potenciales es muy larga.

Primera víctima

Así, las primeras víctimas estuvieron en Canadá. La página afectada fue Canada Revenue Agency (Agencia Tributaria de Canadá) de la cual los ciberdelincuentes robaron 900 números de seguridad social alojados en ella.

La Agencia apuntó en un comunicado que tenían conocimiento de la brecha de seguridad y por eso decidieron poner en marcha un parche de seguridad. Sin embargo, los ladrones fueron más rápidos que el servicio de seguridad y pudieron aprovechar la vulnerabilidad en las seis horas posteriores al anuncio del fallo. La Agencia bloqueó sus servicios por precaución el 8 de abril, pero el robo ya había tenido lugar.

¿Qué pueden hacer los usuarios?

Poco se puede hacer, la verdad, porque el problema está en los servidores y páginas que utilizan los usuarios. De momento, verificar que los servicios que utilizan no son vulnerables y cambiar las contraseñas de los perfiles y herramientas que utilicen habitualmente.

Se puede, por otro lado, utilizar algunas herramientas para comprobar si alguna de las páginas que más se utiliza está comprometida.

Para ello, LastPass lanzó una herramienta que permite a los usuarios revisar si sus páginas web favoritas podrían haber sido afectadas por el "bug" "HeartBleed".

Webs afectadas

Algunos servicios como Yahoo, Google, Facebook, Instagram, Netflix o Airbnb realizaron una actualización de seguridad en los últimos días, pero otros servicios "online" como Pinterest o Tumblr sí se han visto afectados, según comprobó el portal especializado "Mashable". Twitter, Etsy, GoDaddy, Box, Dropbox o SoundCloud y se recomienda cambiar de contraseña.

Plataformas como Amazon y LinkedIn aseguran haber estado a salvo, mientras que Apple consiguió que sus sistemas operativos iOS y OS X no se vieran afectados. Lo mismo ocurre con "la mayoría" de los servicios de Microsoft, como Outlook, Skype o Office 365.

"Los grandes grupos podrían resolver el problema de forma rápida", reconoce Tim Maurer, experto en seguridad de New America Foundation. "No así las pequeñas y medianas empresas, que no tienen los recursos y equipos de expertos en seguridad necesarios para actualizar su sistema rápidamente".

No hay comentarios:

Publicar un comentario