La web esta alerta el día de hoy, debido a la aparición de una nueva brecha de seguridad, denominada “Heartbleed”. Hoy, veremos de que se trata, y que es lo que podemos hacer para estar a salvo y evitar el robo de data / información.

Es, de hecho, uno de los problemas de seguridad más grandes que hemos visto en los últimos años. Bruce Schneier, experto en seguridad tecnológica, ha catalogado a lo sucedido como catastrófico.

 

¿Que es Hearbleed?

Es el nombre dado por investigadores a un “bug” o error en la web. El motivo del pánico, es que a través de este bug, cualquiera con los conocimientos necesarios puede entrar en servidores seguros corriendo ciertas versiones del protocolo OpenSSL, robándose las llaves de encriptacion, passwords e incluso contenido.

Conocen el pequeño candado que aparece cada vez que nos encontramos en un sitio seguro, como nuestro email, o de repente la cuenta bancaria? Este es el protocolo OpenSSL en acción. Y este es el que se ha visto comprometido ahora con este bug.

Una vez que el atacante se hace con las claves de encriptación, a menos que el servidor las cambie, es “Game Over”; en lugar de tener que entrar por la “puerta falsa”, por un agujero de seguridad, la persona con dichas llaves podría entrar por la puerta frontal.

Una vez que se obtiene acceso, el atacante puede robar data directamente de la memoria de los servidores. Así es, el atacante puede agarrar bloques de 64K de la memoria, sin dejar huella. Y este bug no es nuevo, ha estado en OpenSSL desde hace dos años.

El problema es que este bug no deja ningún tipo de rastro, por lo que es imposible, de momento, saber que páginas han sido afectadas. Se calcula, sin embargo, que medio millón de websites son vulnerables. Pueden obtener muchos más detalles sobre Heartbleed aquí

 

 

¿Que información puede ser robada por este ataque?

 

 

Prácticamente todo. Una vez que es obtienen las llaves de encriptación, es posible obtener:

  • Nombres de usuario
  • Contraseñas
  • Mensajes privados
  • Documentos críticos
  • Emails

Y todo, sin dejar huella alguna detrás del ataque. Es decir, no sólo hackers, sino centrales de inteligencia, entidades gubernamentales y demás, pueden haber estado leyendo nuestras comunicaciones e interacciones realizadas en varios de los websites afectados.

¿Qué websites se han visto afectadas?

 

 

Esto es quizás lo más alarmante. A la fecha, 627 de las top 10,000 páginas a nivel mundial sigue siendo vulnerable. OpenSSL es sumamente popular, y es usado en millones de páginas que quieren ofrecer cierta seguridad / encriptación de datos. El 66% de la web lo utiliza para proteger servidores de correo, de chat, redes privadas virtuales y más. Aquí una lista completa, pero encontrarán a muchas websites conocidas, como: Yahoo, Flickr, 500px, imgur, que aún son afectadas por el bug.

Algunas de las más populares páginas como Facebook, Google, Wikipedia o Amazon no están actualmente vulnerables, pero pudieron haberlo estado en algún momento en el pasado, pues lo peor, es que Heartbleed ha estado latente e indocumentado por más de dos años, así que no conocemos las magnitudes de la filtración de información causada por este bug.

¿Qué hacer al respecto?

 

 

Como usuarios de varios de los servicios afectados, debemos tener los siguientes pasos en consideración

  • No usar los servicios que aún no hayan sido parchados
  • Cambiar las contraseñas de los websites que consideremos más importantes, pero sólo si sabemos que el website no es vulnerable. De lo contrario, nuestro nuevo password igual podría verse comprometido.
  • Activar la verificación de dos pasos en los servicios que lo ofrezcan, empezando por Gmail. Este ataque es una clara demostración de que no podemos depender de una sola medida de seguridad, como un passwords. La verificación de dos pasos, que vimos en detalle aquí, añade un importante bloque de seguridad extra.

Aparte de esto, lamentablemente, no hay mucho que podamos hacer; todo depende de que los servicios y websites afectados parchen la vulnerabilidad de OpenSSL. Quieren saber si el website que frecuentan, o el suyo propio, esta afectado? Esta herramienta es capaz de informarnos .

<

p> 

Pero tenemos que asumir que parte de nuestra información privada, puede haber quedado expuesta.

 

  • Luis Davila

    O.O ….. sin palabras.

  • Julio

    Arturo… has usado o tienes comentarios del apple keychain? que tan bueno es? es un buen reemplazo a last pass?