El heartbleed bug, es un fallo de software que las compañías de internet se apresuraron a poner un parche a sus sistemas después de que se alertara en el método de encriptación OpenSSL que ha comprometido seriamente desde 2012 la seguridad de dos tercios de las páginas web existentes. – Lame
Así ha sido visto el grave error de software en el método de encriptación OpenSSL, que ha comprometido seriamente desde 2012 la seguridad de dos tercios de las páginas web existentes, y al que han bautizado como «Heartbleed» (corazón sangrante, en español). Lo primero que llama la atención de todos aquellos que leen la noticia, es sin duda el nombre, que se traduce en español como «corazón sangrante». Este viene dado porque la vulnerabilidad se encuentra en la implementación que OpenSSL, hace de un proceso denominado «HeartBeat,» porque se asimila al latido del corazón, ya que se utiliza para mantener activa periódicamente una sesión de comunicación SSL que se ha establecido entre dos partes después del habitual saludo conocido como «Handshake».
El fallo fue localizado por ingenieros de Google y de la empresa de ciberseguridad Codenomicon la semana pasada y el lunes por la noche los responsables de OpenSSL -una forma que tienen las web de gestionar y encriptar las contraseñas y otra información privada- dieron a conocer el problema al tiempo que publicaron una actualización que lo soluciona. La vulnerabilidad se remonta a la versión OpenSSL 1.0.1 lanzada el 14 de marzo de 2012 y afecta también a la versión 1.0.1f y afecta a dos tercios de todo internet, aunque firmas como Netcraft reducen su impacto hasta el 17% de los servidores web.
¿Cómo afecta a los usuarios?
El problema concreto es que hay un fallo que afecta a algunos de los sitios web que utilizan SSL. «Este defecto puede hacer que sea posible que una persona tenga acceso a esa información que SSL está protegiendo», señala la compañía de seguridad Trend Micro. Según la página creada para explicar el incidente informático, Heartbleed.com, el error ponía al alcance de cualquier «hacker» el acceso a unidades de información privada y protegida alojadas en servidores que usaran OpenSSL, por ejemplo Apache. Los expertos en seguridad advierten que los usuarios tiene poco que hacer para protegerse del grave agujero de seguridad que afecta a todo lo que viaja cifrado en internet, por lo menos no hasta que los sitios web vulnerables actualicen su software.
«El problema es grave», ha explicado Kurt Baumgartner, investigador de la compañía de seguridad Kaspersky Lab, al tiempo que asegura que «ahora es el momento de comprobar la vulnerabilidady de actualizar». El problema es que OpenSSL se utiliza en los servidores que albergan páginas web, pero no a los ordenadores o dispositivos móviles por lo que a pesar de que el agujero muetra contraseñas y otros datos incluidos en dichos dispositivos se debe proceder a salvaguardar los operadores de sitios web.
¿Qué pueden hacer los usuarios?
Poco se puede hacer, la verdad, porque el problema está en los servidores y páginas que utilizan los usuarios. De momento, verificar que los servicios que utilizan no son vulnerables y cambiar las contraseñas de los perfiles y herramientas que utilicen habitualmente. Se puede, por otro lado, utilizar algunas herramientas para comprobar si agluna de las páginas que más se utiliza al cabo del día está comprometida. Para ello, LastPass ha lanzado una herramienta que permite a los usuarios revisar si sus páginas web favoritas podrían haber sido afectadas por el «bug» «HeartBleed».
Los investigadores han observado grupos de «hackers» que utilizan heramientas sofisticadas para realizar análisis automatizados de internet en busca de servidores web que ejecutan el programa de cifrado web OpenSSL que los hace vulnerables al robo de datos, incluyendo contraseñas, comunicaciones confidenciales y números de tarjetas de crédito.
¿Las empresas de internet han tomado medidas?
Representantes de Facebook, Google y Yahoo han asegurado que ya han tomado medidas para mitigar el impacto en los usuarios de este problema. Desde Google apuntan a que han corregido este error y asegura que no es necesario que sus usuarios cambien sus contraseñas. Desde Amazon aseguran que su plataforma no se ha visto afectada
Fuente – ABC
