El peor error de la historia de Internet: Heartbleed bug

publicado en: Otros | 0

Heartbleed es uno de los fallos de seguridad más graves que hayan afectado a Internet en su historia y nos afecta a todos por igual.

Las personas comunes, al escuchar términos como Heartbleed y OpenSSL piensan que son cosas que no les afectan pero, la realidad, es que nos afecta a todos por igual.

Por ejemplo: pueden que hayan robado tu contraseña del banco, o los datos de tu tarjeta de crédito, o tu Facebook y tu aún no estés enterado de esto.

Los problemas de seguridad más comunes, siempre son fallos aislados de un sitio web, un servicio, o una empresa pero, Heartbleed, es algo mucho peor ya que es una vulnerabilidad que afecta una gran parte de Internet, no solo a un servicio en particular.

 

¿Qué es OpenSSL?

OpenSSL es una de las bibliotecas de criptografía más usadas en servidores web, y es un proyecto open source.

Muchos sitios web (cientos de miles) de los que ofrecen conexiones seguras con SSL se apoyan en la biblioteca abierta, de aquí que el problema sea global y general.

Puede que nunca antes lo hayas notado pero, cuando un sitio ofrece protección de datos por los métodos de cifrado SSL/TLS, aparece un candado en la URL y esto significa que la información que estás ingresando a la pagina web está protegida (bueno, se suponía que lo estaba).

Esto de los datos cifrados SSL es infaltable en la banca electrónica pero, además, es usado en el correo electrónico, redes sociales, y hasta en paginas web.

 

¿Qué es Heartbleed?

heartbleedHeartbleed es una vulnerabilidad bastante seria que fue descubierta en OpenSSL.

Este fallo, puede permitir que la información protegida por los métodos de cifrado SSL/TLS pueda ser robada, es decir, el bug Heartbleed deja que cualquiera pueda leer la memoria de los sistemas protegidos por la versión de OpenSSL que fue afectada.

Heartbleed compromete las claves de seguridad secretas que se usan para cifrar el tráfico de los usuarios, los nombres de usuarios, las contraseñas, y el contenido que se transmite. Se han visto afectadas múltiples webs, email, mensajería instantánea y hasta algunas VPNs.

Aunque el fallo fue reportado este 7 de abril de 2014, ya tenía unos 2 años rodando, y durante todo ese tiempo, gente con el conocimiento necesario (hackers, crackers, etc) y sin poder ser rastreada de ninguna manera, podría haber estado explotándolo.

 

¿Qué debes hacer para evitar que te roben tus datos?

Cómo primera medida, puedes utilizar el Heartbleed Bug Cheker para comprobar si un sitio ha sido afectado por la vulnerabilidad.

¿Cómo funciona Heartbleed Bug Checker?

  1. Lo primero que debes hacer es comprobar que en la barra de direcciones aparezca el candado de SSL (de lo contrario, recibirás siempre error porque el sitio directamente no utiliza SSL)PayPal-SSL-Green-URL-Bar
  2. Luego, ingresas a Heartbleed Bug Cheker para comprobar si el sitio ya ha solucionado este bug.

 

¿Debo cambiar mis contraseñas? Si.

Si el sitio o servicio en cuestión aún no ha solucionado el problema, entonces no tiene sentido que lo hagas porque tus datos seguirán expuestos, lo recomendable es que intentes comunicarte con el administrador del sitio y le informes de la situación. Luego, cuando hayan solucionado el problema, recomedamos que cambies tu contraseña (o password) por una que sea compleja y de alta seguridad (el hacker podría tener gran parte de tus datos, con lo cual sería fácil para él descubrir tu contraseña si esta es simple, debes usar una nueva y ultra compleja.)

Algunos consejos:

  1. Recuerda apuntar las contraseñas (o passwords) en un papel y guardarlo en un lugar seguro.
  2. Nunca uses la misma contraseña en dos sitios porque si uno es hackeado podrían acceder a tus otras cuentas
  3. Toda contraseña debería tener 8 o más caracteres, mezclar mayúsculas y minúsculas, letras y números, incluso simbolos comunes como signo de pregunta (?), signos de exclamación (!) y/o guiones (-) o guión bajo (_)

Si no te ocurre una buena contraseña, utiliza algún generador de contraseñas como: Password.es

 

Lista de servicios que reconocen haber sido afectados

Muchos sitios grandes reconocen el bug / error; por ejemplo Google, Yahoo, Facebook.

Esta lista incluye muchos otros sitios web que ya ha detectado y solucionado el error:

Mashable.com – Heartbleed bug, websites affected

Dejar una opinión