Heartbleed, el error que genera alerta en la web

El bug, identificado como heartbleed, abre la puerta al robo de datos en un programa de encriptación instalado en 60% de servidores de internet

COMPARTIR 
11/04/2014 04:43 AFP y Reuters
¡No sangres!. Ya hay parches disponibles para el programa OpenSSL, se informó.
¡No sangres!. Ya hay parches disponibles para el programa OpenSSL, se informó.

SAN FRANCISCO, 10 de abril.- La confianza en internet sufrió ayer un nuevo revés con el hallazgo de una importanta falla de programación (bug) en materia de seguridad, ubicada en un programa de encriptación que es utilizado por 60 por ciento de los sitios destinados a proteger claves y otros datos como los bancarios.

 El hallazgo de la llamada vulnerabilidad Heartbleed por parte de investigadores de Google y la pequeña firma de seguridad Codenomicon llevó al Departamento de Seguridad del Gobierno de Estados Unidos a alertar a las empresas a que revisaran sus servidores para comprobar si estaban usando versiones vulnerables de un software conocido como OpenSSL.

Las autoridades añadieron que ya hay actualizaciones disponibles para solucionar la vulnerabilidad de OpenSSL, que podría permitir a agresores remotos acceder a datos delicados como contraseñas y claves secretas que pueden decodificar el tráfico en su recorrido por internet.

"Hemos probado algunos de nuestros propios servicios desde la perspectiva del agresor. Nos atacamos a nosotros mismos desde fuera, sin dejar rastro", dijo Codenomicon en heartbleed.com, una web creada para proporcionar información sobre la amenaza. 

Nunca lo sabremos

Expertos en seguridad informática advirtieron que eso significa que las víctimas no pueden establecer si se ha tenido acceso a sus datos, lo que es preocupante porque el bug existe desde hace aproximadamente dos años.

"Si un sitio web es vulnerable, yo podría ver cosas como la contraseña, la información bancaria y los datos sanitarios, que uno tiene la impresión de que ha estado mandando correctamente a su web", dijo Michael Coates, director de seguridad de productode Shape Security.

Chris Eng, vicepresidente de Investigación de la firma de seguridad de software Veracode, dijo que estima que centenares de miles de servidores web y de correo electrónico en todo elmundo tienen que ser actualizados con programas hechos específicamente para protegerlos lo antes posible, y así evitar que hackers mal intencionados se se aprovechen de la vulnerabilidad ahora que se ha hecho pública.

Yahoo!, afectado

El sitio web de tecnología Ars Technica informó que el investigador de seguridad Mark Loman pudo extraer datos de servidores del correo de Yahoo! usando una herramienta gratuita.

Un portavoz de Yahoo! confirmó que el correo de la firma es vulnerable a un ataque, pero dijo que ya fue instalado un programa de los conocidos como parches de seguridad, tanto en el correo como en otros sitios principales de la firma tecnológica, como los de Búsqueda, Finanzas, Deportes, Flickr y Tumblr.

Entre las instituciones que han resultado afectadas destaca la Agencia de Ingresos de Canadá, responsable de recibir los impuestos, que sacó de circulación su sitio web como medida preventiva.

Otras versiones que circularon ayer intensamente en internet indicaban que al menos tres bancos españoles habían sido afectados por la falla, entre ellos Sabadel, Openbank y Caja 3, aunque ninguno lo confirmó.

 

¿QUÉ HACER?

Yahoo! admitió que varios de sus servicios fueron afectados, aquí unos tips de protección.

  • Busca en el sitio GitHub.com la lista de sitios vulnerables, aunque algunos pueden haber superado ya la emergencia.
  • Revisa la lista, que se está actualizando de manera constante, para que verifiques si tu banco o portal de internet que más usas están entre los afectados.
  • Si el sitio que más usas no está incluido en lalista, puedes ingresar a http://filippo.io/Heartbleed/?_ga=1.112251972.1535778624.1397087451, y realizar la prueba que incluye para saber si es seguro o no.
  • Cualquiera que sea el resultado de la prueba, es muy importante que cambies tus nombres de usuario y contraseña de todos los sitios que usas, sobre todo si se trata de los que ofrecen servicios financieros.

Relacionadas

Comentarios