En esta entrada vamos a hablar de Heartbleed que es
una amenaza actual para los usuarios web. Dicho en forma general, ‘HeartBleed’ es un bug capaz
de capturar y desencriptar desde los nombres de usuario hasta las contraseñas,
entre otra información sensible contenida en la memoria de los servidores donde
se almacena esta información.
Para entender un poco más a fondo
esta amenaza, comenzaremos por preguntarnos qué es OpenSSL. OpenSSL
es un protocolo gratuito utilizado para navegar de forma segura por la
web, el cual restringe el acceso de terceros a los datos personales de otros
usuarios, como sus correos electrónicos, contraseñas, entre otros. Se trata, ni
más ni menos, de una de las bibliotecas de criptología más utilizadas en
Internet.
El bug Heartbleed es una grave vulnerabilidad en OpenSSL
biblioteca de software criptográfico. Esta debilidad permite robar la
información protegida, bajo condiciones normales, por el cifrado SSL / TLS
utilizado para asegurar la Internet. SSL / TLS proporciona seguridad de
las comunicaciones y la privacidad a través de Internet para aplicaciones como
web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas
virtuales (VPN).
El error Heartbleed permite a cualquier persona en
el Internet para leer la memoria de los sistemas protegidos por las versiones
vulnerables del software OpenSSL. Esto compromete las claves secretas que
se utilizan para identificar a los proveedores de servicios y para cifrar el
tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto
permite a los atacantes espiar las comunicaciones, se roban los datos
directamente de los servicios y de los usuarios y para suplantar a los
servicios y los usuarios.
Algunas versiones de OpenSSL son vulnerables a
este fallo de seguridad, por lo que existe la posibilidad que sean propensas a
recibir un ataque remoto. Esto significa que un delincuente puede atacar un
servidor que esté utilizando un servicio vulnerable y, de forma remota, le pide
una cantidad de información específica almacenada en su memoria, haciendo
efectivo el robo.
Han surgido gran número de noticias acerca de esta amenaza ya
que los datos de todos los usuarios han sido expuestos, inclusive información
personal, a hackers.
Como todo mundo está expuesto a este ataque, según las
investigaciones no se sabe cuáles versiones son vulnerables, sin embargo la
propuesta de solución no es tan certera. El administrador de los servidores
infectados puede recurrir a tener las actualizaciones más recientes de OpenSSL
ya que pueden estar más protegidas, pero tampoco se sabe si es correctamente
hacerlo.
También uno como usuario lo que puede hacer es cambiar sus
contraseñas de sus cuentas lo más frecuentemente posible, pero puede suceder
que no funcione ya que la vulnerabilidad permanecerá mientras las empresas
dueñas de estos sitios no actualicen su software de encriptación.
Referencias
-
http://www.vanguardia.com.mx/heartbleedqueesycomooperaelmayorfallodeseguridadeninternet-1994682.html
No hay comentarios:
Publicar un comentario