Heartbleed

En esta entrada vamos a hablar de Heartbleed que es una amenaza actual para los usuarios web. Dicho en forma general, ‘HeartBleed’  es un bug capaz de capturar y desencriptar desde los nombres de usuario hasta las contraseñas, entre otra información sensible contenida en la memoria de los servidores donde se almacena esta información.

Para entender un poco más a fondo esta amenaza, comenzaremos por preguntarnos qué es OpenSSL.  OpenSSL es un protocolo gratuito utilizado para navegar de forma segura por la web, el cual restringe el acceso de terceros a los datos personales de otros usuarios, como sus correos electrónicos, contraseñas, entre otros. Se trata, ni más ni menos, de una de las bibliotecas de criptología más utilizadas en Internet.

El bug Heartbleed es una grave vulnerabilidad en OpenSSL biblioteca de software criptográfico. Esta debilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL / TLS utilizado para asegurar la Internet. SSL / TLS proporciona seguridad de las comunicaciones y la privacidad a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).

El error Heartbleed permite a cualquier persona en el Internet para leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar las comunicaciones, se roban los datos directamente de los servicios y de los usuarios y para suplantar a los servicios y los usuarios.

Algunas versiones de OpenSSL son vulnerables a este fallo de seguridad, por lo que existe la posibilidad que sean propensas a recibir un ataque remoto. Esto significa que un delincuente puede atacar un servidor que esté utilizando un servicio vulnerable y, de forma remota, le pide una cantidad de información específica almacenada en su memoria, haciendo efectivo el robo.

Han surgido gran número de noticias acerca de esta amenaza ya que los datos de todos los usuarios han sido expuestos, inclusive información personal, a hackers.

Como todo mundo está expuesto a este ataque, según las investigaciones no se sabe cuáles versiones son vulnerables, sin embargo la propuesta de solución no es tan certera. El administrador de los servidores infectados puede recurrir a tener las actualizaciones más recientes de OpenSSL ya que pueden estar más protegidas, pero tampoco se sabe si es correctamente hacerlo.

También uno como usuario lo que puede hacer es cambiar sus contraseñas de sus cuentas lo más frecuentemente posible, pero puede suceder que no funcione ya que la vulnerabilidad permanecerá mientras las empresas dueñas de estos sitios no actualicen su software de encriptación.

Referencias

-          http://heartbleed.com/

-          http://www.elfinanciero.com.mx/tech/heartbleed-compromete-seguridad-de-usuarios-de-internet.html

-          http://www.vanguardia.com.mx/heartbleedqueesycomooperaelmayorfallodeseguridadeninternet-1994682.html

-          http://actualidad.rt.com/actualidad/view/124866-heartbleed-cambiar-contrasenas-amenaza