Heartbleed – Lista de Sitios Afectados. Qué hacer en una era post-Heartbleed?

Cambien AHORA sus contraseñas de Gmail, Facebook, Yahoo, entre otros.

140409072014-heartbleed-illo-620xa

Un día más ha pasado desde La Catástrofe de Hearbleed, uno de los problemas de seguridad y privacidad más grandes de los últimos años, donde al menos medio millón de websites se vio afectada (más sobre el origen y motivo de este “bug”, en nuestro especial, y el panorama sigue siendo igual de desolador.

Ya muchas de las más populares páginas Web, han tenido tiempo de actualizar sus versiones de OpenSSL para evitar que este bug siga afectándolos. Otros websites aún no han hecho nada. Lo que tenemos hoy, es una lista de sitios en los que deben cambiar su contraseña inmediatamente

El gran problema de Heartbleed se debe a dos factores:

  • Lleva dos años activo sin haber sido reconocido
  • No deja huella

Así que no hay forma de asegurarnos de que el servicio haya sido afectado o no. Probablemente, al no haber pruebas contundentes de una brecha de seguridad, muchos servicios opten por nunca confirmarlo. Como resultado, mi recomendación es: Cambien la contraseña de todos los websites que utilizan constantemente y que consideren importantes, pues no hay manera segura de saber si fueron afectados o no. La lista a continuación es una con servicios que usaron (o se sospecha que lo hicieron) OpenSSL en los últimos dos años, y que podría ser vulnerable.

Ojo: Cabe señalar que es recomendable cambiar la contraseña de todos los servicios que aparecen en esta lista. ESTO NO ES UNA BROMA. Cambien la contraseña de todos los servicios que más utilicen, de preferencia.

OJO: Les recomiendo leer este artículo sobre Lastpass para poder mantener un poco de cordura con tanto password nuevo, y poder administrarlos todos: Cómo crear Passwords Seguros y Recordarlos Todos. Por supuesto, usen Last Pass con verificación de dos pasos.

La Lista

Servicio  Ha sido Confirmado?
Facebook No
Tumblr Si
Twitter  No
Google: Gmail, Search, Wallet, Google Play, Google Apps, App Engine  Si
 Yahoo / Yahoo Mail  Si
Amazon Web Services  Si
eBay  No
GoDaddy  Si
Dropbox  Si
Lastpass  Si
Soundcloud  Si
Wunderlist  Si
 Flickr  Si

Lista vía


Qué acciones tomar?

  1. Cambiar de contraseña. Como les recomendaba, Usen Lastpass, pero con autentificación de dos pasos. Esto nos permitirá tener contraseñas más seguras, y asegurarnos de mayor seguridad. A pesar de que LastPass está entre las víctimas, ellos usan múltiples capas de seguridad, por lo que las contraseñas no se vieron afectadas
  2. Usar Verificación de dos pasos – Otra característica prácticamente imprescindible ahora que hemos descubierto esta enorme brecha de seguridad, es activar la verificación de dos pasos en todas las cuentas que lo permitan, como Google, Dropbox, Evernote, y más. Aquí más información sobre la Verificación de 2 pasos
  3. No usar siempre la misma contraseña en todos lados – Vieron la cantidad de sitios afectados por Heartbleed? Ahora, si utilizaban la misma contraseña para más websites, no sólo se vería afectado ese sitio, sino todos los websites con la misma contraseña (o variaciones de esta). Otro gran motivo por el cual no debemos usar el mismo password en todos lados.

Heartbleed. Conoce este grave fallo en Seguridad y como nos afecta a todos

 

La web esta alerta el día de hoy, debido a la aparición de una nueva brecha de seguridad, denominada “Heartbleed”. Hoy, veremos de que se trata, y que es lo que podemos hacer para estar a salvo y evitar el robo de data / información.

Es, de hecho, uno de los problemas de seguridad más grandes que hemos visto en los últimos años. Bruce Schneier, experto en seguridad tecnológica, ha catalogado a lo sucedido como catastrófico.

 

¿Que es Hearbleed?

Es el nombre dado por investigadores a un “bug” o error en la web. El motivo del pánico, es que a través de este bug, cualquiera con los conocimientos necesarios puede entrar en servidores seguros corriendo ciertas versiones del protocolo OpenSSL, robándose las llaves de encriptacion, passwords e incluso contenido.

Conocen el pequeño candado que aparece cada vez que nos encontramos en un sitio seguro, como nuestro email, o de repente la cuenta bancaria? Este es el protocolo OpenSSL en acción. Y este es el que se ha visto comprometido ahora con este bug.

Una vez que el atacante se hace con las claves de encriptación, a menos que el servidor las cambie, es “Game Over”; en lugar de tener que entrar por la “puerta falsa”, por un agujero de seguridad, la persona con dichas llaves podría entrar por la puerta frontal.

Una vez que se obtiene acceso, el atacante puede robar data directamente de la memoria de los servidores. Así es, el atacante puede agarrar bloques de 64K de la memoria, sin dejar huella. Y este bug no es nuevo, ha estado en OpenSSL desde hace dos años.

El problema es que este bug no deja ningún tipo de rastro, por lo que es imposible, de momento, saber que páginas han sido afectadas. Se calcula, sin embargo, que medio millón de websites son vulnerables. Pueden obtener muchos más detalles sobre Heartbleed aquí

 

 

¿Que información puede ser robada por este ataque?

 

 

Prácticamente todo. Una vez que es obtienen las llaves de encriptación, es posible obtener:

  • Nombres de usuario
  • Contraseñas
  • Mensajes privados
  • Documentos críticos
  • Emails

Y todo, sin dejar huella alguna detrás del ataque. Es decir, no sólo hackers, sino centrales de inteligencia, entidades gubernamentales y demás, pueden haber estado leyendo nuestras comunicaciones e interacciones realizadas en varios de los websites afectados.

¿Qué websites se han visto afectadas?

 

 

Esto es quizás lo más alarmante. A la fecha, 627 de las top 10,000 páginas a nivel mundial sigue siendo vulnerable. OpenSSL es sumamente popular, y es usado en millones de páginas que quieren ofrecer cierta seguridad / encriptación de datos. El 66% de la web lo utiliza para proteger servidores de correo, de chat, redes privadas virtuales y más. Aquí una lista completa, pero encontrarán a muchas websites conocidas, como: Yahoo, Flickr, 500px, imgur, que aún son afectadas por el bug.

Algunas de las más populares páginas como Facebook, Google, Wikipedia o Amazon no están actualmente vulnerables, pero pudieron haberlo estado en algún momento en el pasado, pues lo peor, es que Heartbleed ha estado latente e indocumentado por más de dos años, así que no conocemos las magnitudes de la filtración de información causada por este bug.

¿Qué hacer al respecto?

 

 

Como usuarios de varios de los servicios afectados, debemos tener los siguientes pasos en consideración

  • No usar los servicios que aún no hayan sido parchados
  • Cambiar las contraseñas de los websites que consideremos más importantes, pero sólo si sabemos que el website no es vulnerable. De lo contrario, nuestro nuevo password igual podría verse comprometido.
  • Activar la verificación de dos pasos en los servicios que lo ofrezcan, empezando por Gmail. Este ataque es una clara demostración de que no podemos depender de una sola medida de seguridad, como un passwords. La verificación de dos pasos, que vimos en detalle aquí, añade un importante bloque de seguridad extra.

Aparte de esto, lamentablemente, no hay mucho que podamos hacer; todo depende de que los servicios y websites afectados parchen la vulnerabilidad de OpenSSL. Quieren saber si el website que frecuentan, o el suyo propio, esta afectado? Esta herramienta es capaz de informarnos .

<

p> 

Pero tenemos que asumir que parte de nuestra información privada, puede haber quedado expuesta.