Tiempos oscuros en OpenSSL
Aunque puede sonar como el título de un disco de Slayer, Heartbleed en realidad hace referencia a una grave vulnerabilidad de seguridad en OpenSSL. OpenSSL es una biblioteca criptográfica open source, utilizada por las dos terceras partes de los sitios web existentes en Internet. Las páginas web utilizan la tecnología OpenSSL para implementar una conexión encriptada SSL y TSL, protocolos criptográficos que aseguran la comunicación online.
Los ataques dirigidos a la vulnerabilidad Heartbleed –que, según fuentes oficiales, eran muy fáciles de realizar y difíciles de detectar– pudieron tener consecuencias directas sobre los usuarios diarios de Internet. Esto es así dado que, cualquier explotación de Heartbleed podía exponer las claves de los certificados privados, los nombres de usuario, las contraseñas y un gran cantidad de información sensible de los usuarios.
La noticia de Heartbleed tomó conocimiento público a principios de esta semana, luego de que OpenSSL anunciara el lanzamiento de un parche para arreglar esta vulnerabilidad. Desde entonces, la información se viralizó y la seriedad de este acontecimiento llegó a oídos de todo el mundo. Si tienes en cuenta todo lo que hoy se sabe acerca de Heartbleed, probablemente quieras hacer pronto una limpieza digital profunda, particularmente en todo lo que respecta a tus contraseñas. Para esto, es muy importante que también le eches un vistazo a la pequeña guía, que publicamos ayer en nuestro blog diario, sobre cómo defenderte de Heartbleed. En este artículo buscamos explicar, en palabras sencillas, las implicancias de este problema enormemente complejo. Asimismo, allí también les detallamos qué páginas tuvieron -o siguen teniendo- esta vulnerabilidad y qué se debe hacer para mantenerse a salvo.
Lo cierto es que la lista de los sitios afectados por la vulnerabilidad de Heartbleed es muy larga y cambia continuamente. Si lo deseas, puedes utilizar esta herramienta para comprobar individualmente los sitios que visitas frecuentemente. Por otro lado, un gran número de plataformas de videojuegos online –Nintendo, Call of Duty, League of Legends, entre otras- fueron afectadas por Heartbleed y lanzaron comunicados advirtiéndoles a sus usuarios que cambien sus contraseñas de manera inmediata. Puedes encontrar una lista de las tendencias digitales aquí.
Si estás interesado en conocer cómo funciona la criptografía, te recomendamos que leas nuestro artículo sobre las funciones criptográficas del hash. Si bien no se relaciona directamente con la situación de OpenSSL, te ayudará a comprender mejor el vocabulario empleado en torno a la criptografía.
El fin de una era
Si la semana pasada me hubieran preguntado cuál sería la noticia más importante de estos días, les hubiera dicho que, sin dudas, sería el final del soporte técnico de Windows XP. El 8 de abril de 2014 había sido anunciado, desde hacía bastante tiempo, como la fecha en que Microsoft lanazaría, por última vez, un parche para solucionar los bugs presentes en su sistema operativo más famoso. Por lo tanto, la edición de este mes del Patch Tuesday (acontecimiento en el que Microsoft presenta los fixes más recientes para sus sistemas operativos) fue la última en la vida del XP.
Sin embargo, el problema es que Windows XP sigue siendo, al día de hoy, un sistema operativo dominante. Lo ves en las computadoras de los consultorios médicos, en las terminales de puntos de ventas y en cajeros automáticos. Es, además, el sistema operativo subyacente en muchos dispositivos integrados, desconocidos para la mayoría de las personas. Con todo esto dicho, las estimaciones de varias fuentes indican que entre el 18 y el 28 por ciento del PCs conectadas a Internet todavía utilizan Windows XP. Para ser francos, Windows XP no irá a ninguna parte. El fin del soporte técnico sólo significa que las nuevas vulnerabilidades encontradas en este sistema operativo nunca serán solucionadas.
Para una perspectiva completa de todo lo que implica esta situación, puedes leer esta breve mirada sobre la historia y el futuro de Windows XP que fue, por mucho tiempo, el sistema operativo más utilizado del mundo
Otras noticias
Pasó un poco desapercibido, pero a mediados de esta semana Google llevó a cabo una fuerte acción en favor de la seguridad de los usuarios de Android. La compañía reforzó la seguridad de sus sistema operativo para móviles con una herramienta que monitoreará continuamente las aplicaciones en los dispositivos de los usuarios, con el objetivo de asegurarse de que éstas no están actuando de manera maliciosa o excediéndose en la exigencia permisos indeseados.
los sistemas existentes Bouncer y Verify Apps analizan la Play Store de Google y les advierten a los usuarios de la existencia de un riesgo potencial en la aplicación que están instalando. En algunos casos, incluso, Google bloquea la instalación de las apps sospechosas. La nueva herramienta va un paso más adelante y monitorea las aplicaciones que ya fueron instaladas, con el fin de proteger a los usuarios de los desarrolladores que, en algunos casos, envían actualizaciones con funciones maliciosas o indeseadas. En suma, esta nueva medida está pensada con el objetivo de ponerle un freno al creciente problema de las aplicaciones maliciosas en Android que día tras día aparecen en la tienda de Google.
Traducido por: Guillermo Vidal Quinteiro