Ejempla Logo

  Futuro

La falla que puso en riesgo millones de datos

Heartbleed, así se denomina a una vulnerabilidad de la red que afecta a gran parte de servicios de comercio electrónico, banca online, redes sociales y otros sitios con información de usuarios. Todos pudimos haber sido espiados sin que los responsables de la seguridad de nuestros datos se hayan percatado.

¿Qué es específicamente ‘Heartbleed’? Un bug, es decir un error de programación, no un virus ni otro tipo de amenazas. “Es una vulnerabilidad crítica de OpenSSL, una librería utilizada para funciones de criptografía y para proveer conexiones seguras”, explica Marcelo Elizeche, Consultor en Seguridad Informática y Desarrollador.

El riesgo con el fallo es que permite acceder a información que en situaciones normales estaría protegida por protocolos de seguridad proveídos por esta misma librería. “SSL/TLS son protocolos de seguridad y privacidad a conexiones de Internet para aplicaciones como sitios web, email, mensajería instantánea y conexiones a través de una VPN (Red Privada Virtual)”, detalla Elizeche.

Heartbleed es un bug, es decir un error de programación.

— Marcelo Elizeche

Pero fuera de la terminología informática, ¿cuán grave es Heartbleed? La respuesta es: bastante grave. “Esta vulnerabilidad permite a cualquiera en internet leer una porción de la memoria de los servidores afectados, así los atacantes pueden ‘escuchar’/espiar la conexión para obtener datos sensibles”, indica Elizeche.

¿Todavía no parece preocupante? Espere hasta el siguiente párrafo.

“Aparte de usuarios, contraseñas y cualquier información que esté en ese momento en memoria, lo más grave es que se pueden extraer las claves de encriptación de la conexión, permitiendo esto desencriptar todo el tráfico del servidor que en teoría era seguro, inclusive tráfico anterior”.

Si es que alguien accedió a información sensible en el pasado, no hay ninguna forma de saberlo ya que no queda ningún tipo de registro dentro del servidor

— Marcelo Elizeche

Así es que además de datos de usuarios, quienes hayan detectado la vulnerabilidad tienen la posibilidad de usar la información extraída para que un sitio o servicio fraudulento pueda hacerse pasar por uno legítimo.

El bug ‘Heartbleed’ se detectó en la versión del 2012 de OpenSSL, hasta la versión más reciente, del 8 de abril, que ya fue corregida.

“Para empeorar el panorama, si es que alguien accedió a información sensible en el pasado, no hay ninguna forma de saberlo ya que no queda ningún tipo de registro dentro del servidor”, detalla Elizeche.

ACCIONES TOMADAS

Google, Facebook, Twitter, Amazon, Wordpress y otros sitios importantes que utilizan OpenSSl ya tomaron las medidas necesarias y dejaron de ser vulnerables luego de que a inicios de esta semana se hiciera pública la falencia. De todos modos, las bandejas de entrada a nivel global de usuarios de Internet seguirán recibiendo mensajes de servicios contando como superaron la vulnerabilidad, alertada por Neel Mehta de Google Security el 7 de abril.

Dejando de lado por unos segundos las reacciones de los expertos, ¿qué puede hacer un simple usuario ante esta falla? Casi nada. Quizás por seguridad, cambiar de contraseña.

"El fallo ya está corregido en la ultima versión de OpenSSL. Como usuario es poco lo que se puede hacer ya que los administradores de dichos sistemas deben actualizar a la última versión de la librería para que no los afecte esta vulnerabilidad y revocar los certificados SSL por la posibilidad de que hayan sido comprometidos”, afirma Elizeche.

Así es que el temblor en lo profundo de la red, donde solo transitan los desarrolladores informáticos ha pasado. Con la falla superada, queda ahora en manos de los responsables de servidores actualizar sus servicios.

+ Aquí una herramienta para chequear si sitios con información sensible siguen aún en riesgo.

   
  Más artículos en Futuro

Tu auto es una basura

Hay que admitir, tu auto es una basura. Pero no es culpa tuya, la industria automotriz no está avanzando al ritmo tecnológico de nuestra época y no es por falta de técnica, es por la poca iniciativa de los líderes de la industria.

¿Qué es Efficient Dynamics?

A medida que los niños crecen, crece la conciencia sobre el cuidado del medio ambiente. El mundo que ellos vivirán a tu edad es radicalmente distinto. Pero es primordial empezar a cuidarlo con decisiones más ecológicas hasta cuando decidimos comprar un auto.

Hackearon el Parlamento

Se abrieron las puertas digitales del Parlamento. Se jugaron con los datos. Todos sabemos quienes son los responsables del hackeo parlamentario. Se trata un hackeo bajo el concepto bueno del término, bajo el cual se desarrollaron 14 proyectos en poco más de 10 horas.

     
Entendé a tu mundo,
cada semana,
en tu inbox.

Una síntesis de los mejores artículos publicados.