¿Y TU SABES QUE ES HEARTBLEED?

Si no sabes que es HeartBleed y como te puede afectar, trataré de explicarte lo mejor posible...

Empezare por describir que es el dichoso HeartBleed:

Es un bug, una vulnerabilidad, un error o fallo en un protocolo de seguridad importante: OpenSSL.

¿Pero qué es OpenSSL?

OpenSSL es una de las bibliotecas de criptografía más usadas en servidores web, y es un proyecto open source. Muchos sitios web (cientos de miles) de los que ofrecen conexiones seguras con SSL se apoyan en la biblioteca abierta. Puede que lo hayas visto, pero no prestaste atención al icono con un candado que aparece en la barra de direcciones, o a las siglas HTTPS; ambos son símbolos de que estamos accediendo a un sitio seguro, y que el intercambio de datos que hacemos, está siendo cifrado. Infaltable en la banca electrónica por mencionar un ejemplo obvio. Pero usado en el correo electrónico, redes sociales, y hasta un simple blog.

Heartbleed es una vulnerabilidad bastante seria que fue descubierta en OpenSSL. Este fallo, puede permitir que la información protegida por los métodos de cifrado SSL/TLS pueda ser robada. El bug Heartbleed deja que cualquiera pueda leer la memoria de los sistemas protegidos por la versión de OpenSSL que fue afectada.

Heartbleed compromete las claves de seguridad secretas que se usan para cifrar el tráfico de los usuarios, los nombres de usuarios, las contraseñas, y el contenido que se transmite. Se han visto afectadas múltiples webs, email, mensajería instantánea y hasta algunas VPNs.

Aunque el fallo fue reportado este 7 de abril de 2014, ya tenía unos 2 años rodando, y durante todo ese tiempo, gente con el conocimiento necesario y sin poder ser rastreada de ninguna manera, podría haber estado explotándolo.

Hay cuatro tipos de datos que pueden ser capturados a través de Heartbleed. El más importante son las claves de encriptación, seguidas por nombres de usuarios y contraseñas. En tercer lugar está el contenido protegido como correos electrónicos y datos bancarios, y por último se encuentra el contenido colateral, o el código que hace que cada plataforma funcione correctamente.

Piensa en toda la información que damos a sitios Web: datos de tarjetas de crédito, tu dirección y teléfono, conversaciones profesionales e incluso fotografías o archivos confidenciales.

¿y que tan grave es?

La gravedad radica en que pueden obtener datos de redes sociales, correos electrónicos y de todo aquel sitio en el que tengas información, sea confidencial o no.

Y si pensabas que solo afecta a los sitios web, pues que crees también ha aparecido en los gadgets que usamos para conectarnos a Internet, como celulares o tables, switchs y routers.

¿Y que están haciendo los sitios web?

Tras enterarse de la existencia de Heartbleed, sitios como Google, Yahoo y Dropbox implementaron parches para solucionar la vulnerabilidad, pero aconsejaron a sus usuarios cambiar sus contraseñas como medida preventiva.

Por su parte, Facebook afirmó que solucionó el problema antes de que se hiciera público, pero como no se notificó a los usuarios, es recomendable crear un nuevo password.

¿Y cómo debo actuar o que tengo que hacer ante este fallo de seguridad?

Puedes tomar todo este alboroto como una oportunidad perfecta para revisar tus contraseñas y cambiarlas por unas mejores y más seguras. De hecho, esto debe de ser una práctica que deberíamos tomar en cuenta con o sin bugs apocalípticos de seguridad. Una buena contraseña siempre es importante.

Lo más conveniente en este momento es actualizar las claves de los servicios más importantes como el correo electrónico, acceso a cuentas bancarias, facebook, google, todo lo que consideres importante. Y dentro de unas semanas, cuando todos hayan actualizado y resuelto el problema con OpenSSL volver a cambiar de nuevo todas las contraseñas.

En la página Mashable han publicado una lista con algunos de los sitios web más populares, respondiendo si han sido afectados, si han parcheado sus sistemas, si necesitas cambiar tu contraseña en estos sitios, y que dijo la empresa respecto al problema. Te recomiendo que la revises.

No hay comentarios: