Numerosas empresas de internet estuvieron este martes actualizando sus sistemas con un parche para el software de cifrado OpenSSL, que padece un problema serio de seguridad desde la versión 1.0.1, lanzada el 14 de marzo de 2012. El fallo, bautizado como Heartbleed, fue localizado por ingenieros de Google y de la empresa de ciberseguridad Codenomicon la semana pasada y el lunes por la noche los responsables de OpenSSL dieron a conocer el problema al tiempo que publicaron una actualización que lo soluciona.
En principio, los ordenadores domésticos no suelen emplearlo, pero un porcentaje considerable de los sitios web seguros, los que emplean el protocolo https en lugar del tradicional http, podrían sufrirlo. En concreto, aquellos que emplean Apache o ningx como servidor web, que son dos tercios de todos los servidores del mundo y entre los que se incluyen, por ejemplo, Google, Facebook, Youtube, Twitter, Yahoo, Blogspot, Amazon, WordPress o Pinterest. De hecho, estas empresas padecían el problema y ya lo han solucionado. Existe una página para comprobar si una web concreta padece el problema. En el momento de redactar esta noticia, sitios web como la Agencia Tributaria y un buen número de bancos estaban ya limpios.
Heartbleed (o CVE-2014-0160, que es su nombre oficial) permitía a los ciberdelincuentes acceder a un bloque de 64kb de memoria del servidor afectado. Aunque puede parecer poco, en un momento determinado esa porción de memoria podría contener información confidencial como contraseñas, datos financieros, etc. Además, un atacante podría hacer varias intrusiones al mismo servidor y obtener diferentes bloques de memoria con información distinta.
ADVERTISEMENT
¿Debemos preocuparnos?
El problema es que aunque a partir de ahora el software capaz de detectar intrusiones puede ser modificado para detectar un intento de explotar este fallo, su naturaleza hace imposible detectar si alguien se ha aprovechado del error en el pasado, de modo que no se sabe si se ha empleado este ataque con éxito o no, ni en qué sitios web.
Desde la red Tor, que permite acceder a internet de forma segura y anónima, y que se ha visto afectada por el error de software, se advirtió de que el fallo era tan alarmante que recomendó a las personas que "necesiten elevado anonimato y privacidad en internet" que se mantuvieran "alejados de internet totalmente durante los próximos días hasta que las cosas se calmen".
Sin llegar a estos extremos, sí es aconsejable cambiar las contraseñas más sensibles que tengamos, especialmente las de banca electrónica, y sobre todo si las hemos usado a lo largo del lunes y el martes. Aunque este error ha estado disponible para ser aprovechado por los ciberdelincuentes desde 2012, es posible que no se hayan producido ataques. Además, por su naturaleza, en el peor de los casos sólo habrán conseguido un número relativamente pequeño de todas las contraseñas. Aún así, con el dinero de cada uno la prudencia manda.
No hay comentarios:
Publicar un comentario