10 Abr 2014

La Vulnerabilidad “Heartbleed” Puede Poner En Peligro Tu Seguridad En Miles De Sitios Web

Consejos Noticias Seguridad

ACTUALIZACIÓN: En una versión anterior de este artículo, citando un listado de Github, dijimos que los usuarios de la página web HideMyAss fueron afectados por la vulnerabilidad Heartbleed. Un representante de esta página web ha desmentido esta noticia; en consecuencia, hemos quitado la página web del listado de los sitios afectados.

Sabes que una vulnerabilidad de seguridad es realmente grave cuando un programa como Morning Edition de la estación de radio estadounidense NPR comienza su sección de las 8 de la mañana hablando de ella. Esto sucedió esta mañana, cuando Morning Edition anunció que un grave defecto de cifrado – apodado Heartbleed – fue encontrado en OpenSSL, probablemente la biblioteca de cifrado más utilizada de Internet. Si estás un poco confundido acerca qué significa todo esto, no te preocupes, voy a tratar de explicarte toda la historia en las próximas 500 palabras.

heart

Cuando se establece una conexión cifrada a un sitio web, ya sea Google, Facebook o la sucursal online de tu banco, los datos se encriptan mediante el protocolo SSL/TLS. Muchos servidores web utilizan la biblioteca OpenSSL para esto. A principios de esta semana, los operadores de OpenSSL publicaron un parche para un bug grave detectado en la implementación de la función TLS, llamado “Heartbleed”, que podría revelar hasta 64 kB de memoria del servidor a un cibercriminal.

En otras palabras, el error podría permitir que cualquier persona de Internet lea la memoria de una máquina que esté protegida por una versión vulnerable de la biblioteca. En el peor de los casos, este pequeño trozo de memoria podría contener información vital: nombres de usuarios, contraseñas o incluso la llave privada usada por el servidor para mantener tu conexión cifrada. Además, la explotación de Heartbleed no deja rastros, así que no hay manera de saber si un servidor ha sido hackeado o qué tipo de datos han sido robados.

Las buenas noticias: OpenSSL arregló el bug. Las malas: no hay manera de garantizar que las páginas y los servicios afectados por Heartbleed están implementando el parche que lo soluciona. Además, parece ser que el bug es bastante fácil de explotar y es posible que haya existido hasta por 2 años. Esto significa que los certificados de seguridad de muchas páginas web pudieron ya haber sido robados en el pasado, así como también muchos datos vitales, incluyendo las contraseñas.

El plan de acción para los usuarios

  • Comprueba si tu página favorita era vulnerable en el pasado. Hay herramientas online para comprobar la presencia de la vulnerabilidad, pero también es importante que compruebes si esta vulnerabilidad estuvo presente en el pasado. Por suerte, hay una lista larga de páginas web populares que poseen la vulnerabilidad. La buena noticia: Facebook y Google no están afectados. La mala: Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, 500px y muchas más sí se vieron afectadas por esta vulnerabilidad. Prepárate para actuar si tienes una cuenta en una de esas páginas vulnerables.
  • Comprueba si tu página favorita es vulnerable en este momentoExiste una herramienta simple para hacer esto;heartbleed1
  • Cuando los propietarios de las páginas arreglen el bug, tienen que volver a publicar los certificados de las páginas. Así que prepárate para controlar los certificados de los servidores y asegurar que estás usando los nuevos (publicados el 8 de abril o después). Para hacer esto, habilita la comprobación de revocación de certificados en tu navegador. Aquí hay un ejemplo de las configuraciones de Google Chrome:heartbleed2
  • Esto prevendrá que tu navegador use certificados viejos. Para comprobar la fecha de publicación del certificado manualmente, haz click sobre el candado verde en la barra de direcciones y, luego, haz clic en “información” de la pestaña de “Conexión”:heartbleed3
  • El paso más importante: cuando el servidor esté arreglado y el certificado esté actualizado, debes cambiar tu contraseña inmediatamente. Usa esta oportunidad para revisar tu política de contraseñas y empieza a usar contraseñas fuertes, pero fáciles de recordar. Además puedes comprobar si tu nueva contraseña es buena usando nuestro Password Checker.

 

 

Traducido por: Guillermo Vidal Quinteiro