Durante toda la semana Internet se ha llenado de personas discutiendo un mismo tema: la seguridad en la red. Puede que hayas escuchado sobre esto, puede que no, y tal vez eso de Heartbleed y OpenSSL se te hacen dos términos muy extraños como para creer que tu, como usuario común, debas preocuparte por ello.
Los problemas de seguridad más comunes, siempre son fallos aislados de un sitio web, un servicio, o una empresa. Pasa con cierta frecuencia (más de la que debería o de la que quisiéramos) que los datos de los usuarios de x plataforma se exponen, a veces hasta datos de facturación, y gente termina perdiendo sus cuentas, o simplemente dejan de confiar en un servicio por no tomar las medidas para prevenir este tipo de problemas. Pero, Heartbleed es algo bastante peor, es una vulnerabilidad que afecta una gran parte de Internet, no solo a un servicio en particular. Veamos por qué.
¿Qué es OpenSSL?
OpenSSL es una de las bibliotecas de criptografía más usadas en servidores web, y es un proyecto open source. Muchos sitios web (cientos de miles) de los que ofrecen conexiones seguras con SSL se apoyan en la biblioteca abierta. Puede que lo hayas visto, pero no prestaste atención al icono con un candado que aparece en la barra de direcciones, o a las siglas HTTPS; ambos son símbolos de que estamos accediendo a un sitio seguro, y que el intercambio de datos que hacemos, está siendo cifrado. Infaltable en la banca electrónica por mencionar un ejemplo obvio. Pero usado en el correo electrónico, redes sociales, y hasta un simple blog.
¿Qué es Heartbleed?
Heartbleed es una vulnerabilidad bastante seria que fue descubierta en OpenSSL. Este fallo, puede permitir que la información protegida por los métodos de cifrado SSL/TLS pueda ser robada. El bug Heartbleed deja que cualquiera pueda leer la memoria de los sistemas protegidos por la versión de OpenSSL que fue afectada.
Heartbleed compromete las claves de seguridad secretas que se usan para cifrar el tráfico de los usuarios, los nombres de usuarios, las contraseñas, y el contenido que se transmite. Se han visto afectadas múltiples webs, email, mensajería instantánea y hasta algunas VPNs. Incluso tu cuenta de Minecraft.
Aunque el fallo fue reportado este 7 de abril de 2014, ya tenía unos 2 años rodando, y durante todo ese tiempo, gente con el conocimiento necesario y sin poder ser rastreada de ninguna manera, podría haber estado explotándolo.
¿Cuál es la solución?, ¿debes cambiar tus contraseñas?
Puedes tomar todo este alboroto como una oportunidad perfecta para revisar tus contraseñas y cambiarlas por unas mejores y más seguras. Es una práctica que deberíamos tomar en cuenta con o sin bugs apocalípticos de seguridad. Una buena contraseña siempre es importante.
La historia de Heartbleed apareció este lunes, así que si corriste a cambiar tus contraseñas en ese momento, es probable que no estuvieses haciendo mucho, ya que lo más importante es que cada compañía que utilizara OpenSSL hubiese actualizado a la nueva versión de la biblioteca para parchear el bug. Y, esto no es un proceso tan sencillo como el de actualizar tus aplicaciones en Android o iOS cuando aparece une nueva versión del Candy Crush. Son los administradores de sistemas quienes tienen más trabajo.
Puedes utilizar el Heartbleed Bug Cheker para comprobar si un sitio ha sido afectado por la vulnerabilidad. Si recibes un mensaje de error es probable que el sito no use SSL. De resto, no deberían haber falsos positivos. También puedes usar la herramienta de comprobación de LastPass.
En Mashable han publicado una lista con algunos de los sitios web más populares, respondiendo si han sido afectados, si han parcheado sus sistemas, si necesitas cambiar tu contraseña en estos sitios, y que dijo la empresa respecto al problema. Muy recomendado que pasemos a leerla.
