¡Atención! Esto no es un virus ni una broma: Un defecto de encriptación amenaza la seguridad en internet y deberás cambiar tus claves

Internet, TICs y Startups

Por Sophimania Redacción
10 de Abril de 2014 a las 10:13
Compartir Twittear Compartir
¡Atención! Esto no es un virus ni una broma: Un defecto de encriptación amenaza la seguridad en internet y deberás cambiar tus claves

Un defecto de encriptación llamado "Heartbleed" se ha convertido en los últimos días en una de las mayores amenazas a la seguridad en internet.

El error ha afectado el software libre de encriptación OpenSLL, que utilizan muchos sitios web populares como Gmail y Facebook, y podría haber expuesto de manera silenciosa la información de la cuenta confidencial de los usuarios (como contraseñas y números de tarjetas de crédito) en los últimos dos años.

 

¿Por qué es tan temible Heartbleed?

¿Qué pasaría si este fallo implica que las claves secretas entre el usuario y el servidor fueran repentinamente accesibles por alguien más? ¿Qué pasa si el defecto significa que alguien pudiera secretamente tener acceso a las claves del servidor, hacer una copia para sí mismo, y espiar todo lo que los usuarios le envían a ese servidor? ¿Qué pasa si ese defecto es imposible de detectar?

Eso es Heartbleed. Es una vulnerabilidad que, hasta el momento, había operado sin ser detectada. Además, está diseñada de tal manera que con suficiente esfuerzo y tiempo, una persona extraña puede acceder a una gran cantidad de información.

Heartbleed tiene el potencial de ser una de las mayores vulnerabilidades en la historia de la web moderna. Es frustrante, sin embargo, porque el problema es técnico y muy difícil de entender para los usuarios regulares.

 

hb 2

Foto: Rack

 

Lo peor es que esta vulnerabilidad en realidad ha estado presente desde diciembre de 2011. Una gran cantidad de paquetes de software comenzó a utilizar la versión vulnerable de OpenSSL en mayo de 2012. Así que desde hace dos años, cualquier aplicación, página web, el banco o la mensajería privada aplicación que utiliza OpenSSL ha sido vulnerable a este error.

 

La solución

Algunas empresas de Internet que eran vulnerables al error ya han actualizado sus servidores con un parche de seguridad para solucionar el problema.

Facebook se pronunció diciendo que ya se habían agregado parches de protección contra el fallo de OpenSSL antes de que todo se haya hecho público, sin embargo alientan a sus usuarios a cambiar de contraseña.

 

hb facebook

Facebook ha sido uno de los afectados, como consta en la entrevista con Mashable. Para conocer la lista completa de afectados y lo que recomiendan los CEO, da click aquí.

 

Esto significa que tienes que entrar y cambiar tus contraseñas de inmediato en estas web, sin embargo, esto no es garantía de que su información no haya sido antes expuesta a peligro.

Aunque cambiar su contraseña con regularidad es siempre una buena práctica, si un sitio o servicio aún no ha parcheado el problema, tu información seguirá siendo vulnerable. Sin embargo, no hay evidencias de que los piratas cibernéticos hayan tenido información sobre este falla antes de esta semana.

Es importante señalar que no todos los servidores o aplicaciones web utilizan OpenSSL. Si quieres conocer si la página que quieres visitar ha sido infectada con este fallo, el sitio LastPass ha generado un buscador que te puede dar mayor información, da click aquí, y copia la URL del portal que desees.

 

¿Qué tan significativo es este fallo de seguridad?. Video: PBS News Hour

 

 

¿La NSA involucrada?

La polémica se incrementa cuando los expertos en seguridad comenzaron a especular sobre si la NSA (Agencia de Seguridad Nacional de los EE.UU) habría sido la causante de este fallo. Hasta ahora no hay evidencia que sugiera que este sea el caso, por el contrario, es más probable que la NSA solo se haya valido de este defecto para obtener las claves e información privada.

Hay razones por las que este método no sería muy eficiente para la NSA. La más importante de ellas es que este defecto no ha sido generalizado, por lo que no sería muy útil usarlo como método de espionaje, ya que la data afectada ha sido al azar.

Para más información sobre este fallo, links de ayuda e información sobre los parches de seguridad, entra aquí.

Para conocer la lista completa de webs que se han visto afectadas y lo que recomiendan, da click aquí. 

 

Notas relacionadas:

Heartbleed: Consejos para contraseñas "inhackeables"

 

FUENTES: Mashable, MashableWIRED24horas


Compartir Twittear Compartir