Heartbleed: Entienda el hecho que puzo el Internet en alerta

Los expertos en seguridad han descubierto un fallo importante en un software utilizado por cientos de bancos, correos electrónicos, redes sociales y las tiendas en línea de todo el mundo. El error llamado Heartbleed afecta el OpenSSL, una biblioteca de código abierto responsable de cifrar la información en los servidores y mantener sus datos seguros. Sólo para tener una idea del tamaño, esta es la tecnología responsable de la implementación de S en HTTP, la protección de sus datos de acceso.

OpenSSL es adoptado por aproximadamente 2 de cada 3 servidores en el mundo y la brecha puede revelar los nombres de usuarios, contraseñas y contenido de los mensajes cifrados.

En una comparativa fácil de entender, podemos decir que el error es como una puerta con mala cerradura. La protección aún existe y se nota, sin embargo, cualquiera que conozca del defecto puede entrar en la residencia y tener acceso a todas las habitaciones y objetos domésticos.

La buena noticia es que la organización OpenSSL Project actuó de forma rápida y ha publicado una actualización de las últimas versiones del software, lo que garantiza una mayor seguridad. Las empresas internacionales como Amazon y Yahoo han emitido notas sobre su acción contra la vulnerabilidad. Ya compañías como Apple y Microsoft utilizan sus propias herramientas de seguridad.

Sin embargo, ninguna empresa nacional (al igual que los grandes minoristas del comercio electrónico), habló sobre el tema. El silencio puede llevar a pérdidas a los dos lados envueltos. A continuación se puede entender un poco más sobre Heartbleed.

¿Qué es el problema?

La vulnerabilidad del software descrito por Neel Mehta, de Google, es identificada como CVE-2014 a 0.160. Capaz de afectar OpenSSL en las últimas versiones, el problema se encuentra en la extensión «Heartbeat». El fallo permite a los hackers «pescar» a 64KB de datos de información alojados en los servidores. El número parece bajo, pero el proceso se puede repetir varias veces para formar una información relevante que puede incluso permitir el acceso a todo el tráfico de datos.

¿Pero hay una solución?

Sí, el parche ya existe y está siendo implementado por las empresas que emplean el sistema en sus servidores. Pero no se sabe hasta qué punto esta exposición fue aprovechada por los delincuentes capaces de tomar ventaja de los datos que ya están disponibles en el servidor.

¿Tengo que cambiar mis contraseñas o algo?

No por ahora. También porque los datos ya están disponiblese y cambiar su acceso al sistema vulnerable no implica ningún cambio, sin contar que el flujo de muchos usuarios intentando realizar la misma actividad puede agravar el problema.

Soy dueño de un sitio web/servidor que utiliza OpenSSL, ¿y ahora?

Usted puede utilizar esta herramienta para comprobar si sus datos son vulnerables al error. Recordando que el error afecta a las versiones 1.0.1 y 1.0.2-beta de OpenSSL que viene con la mayoría de versiones de Linux. Y hay una actualización para corregir el problema.

¿Dónde puedo obtener más información?

En la propia página web de la organización y en esta página, que describe todo el proceso de descubierta del error, medidas necesarias y versiones en riesgo.