Heartbleed amenaza Internet y no hay mucho que puedas hacer

El martes por la mañana en Europa, lunes noche en América, saltó la noticia de que un grupo de seguridad finlandés llamado Codenomicon había descubierto un error en la librería de seguridad OpenSSL, al que se le conoce como Heartbleed. Para quien no quiera tecnicismos, esto es el candadito que aparece al lado del http en la barra de dirección de nuestro navegador. Este certificado nos asegura que la información que demos no podrá ser accedida por terceros.

Este fallo permitiría a un hacker poder acceder a la memoria de un servidor y recuperar los datos de sus usuarios, obteniendo así, sus nombres y claves de acceso. Esto de por sí es muy grave, pero ahora viene lo peor de todo: este protocolo es usado por el 66% de Internet. Cualquier web puede ser vulnerable en estos momentos. Y por si esto fuera poco, este fallo se conoce desde hace 2 años, por lo que el alcance puede haber sido masivo.

Aquí se puede consultar una lista con las webs afectadas. Páginas como Yahoo, Imgur y Flickr o las españolas Lavozdegalicia o Trovit aún siguen afectadas. De todos modos, las grandes compañías están trabajando para arreglar el fallo lo antes posible. En la captura se puede ver como el Analista de Malware Mark Loman accedía a datos de Yahoo a media tarde de ayer.

Do not login to Yahoo! The OpenSSL bug #heartbleed allows extraction of usernames and plain passwords! pic.twitter.com/OuF3FM10GP
— Mark Loman (@markloman) abril 8, 2014

¿Qué se puede hacer?

Realmente hay poco que se pueda hacer, no es algo que dependa del usuario sino más bien de la empresa que tiene tus datos. Así que lo más recomendable es no acceder a los servicios hasta que la compañía confirme que han solucionado el problema. Es una medida un tanto drástica pero si no accedes a una web, tus datos no quedarán almacenados en la memoria del servidor y, por tanto, no podrán ser recuperados.

Queda mucho por hacer en Internet. Poco a poco se va conociendo más sobre las vulnerabilidades y los posibles fallos de seguridad existentes pero aún hay que ir con cuidado. El sentido común es el mejor consejero a la hora de utilizar la red. Heartbleed nos ha abierto los ojos y ahora está en nuestras manos prestar más atención a la seguridad informática.

Hace muy poco saltaba una de las noticias más alarmantes de internet. Una vulnerabilidad muy seria en una de las librerías del conocido proyecto OpenSSL podría afectar a una cantidad inmensa de servicios y servidores en la red. Debido a éste fallo, llamado también heartbleed, todos nuestros datos podrían ser robados fácilmente. ¿Debemos preocuparnos?

Al contrario que en muchas otras ocasiones, esta vez hemos de decir que sí, es un buen momento para preocuparse. Pero tranquilos, en primer lugar, la comunidad Open Source, como de costumbre, ha sacado parches muy rápidamente, con lo cual la solución se irá extendiendo poco a poco. Pero además vamos a hacer lo posible por ayudaros a que pongáis las medidas oportunas que estén en vuestra manos o al menos contar lo que sabemos para que estéis al tanto de lo que está ocurriendo con uno de los fallos más graves, a nivel de afectados y de consecuencias que haya afectado jamás a internet.

¿En qué consiste el fallo de seguridad de OpenSSL o heartbleed?

OpenSSL es un proyecto de software libre que consiste en un paquete de herramientas de administración y bibliotecas relacionadas con la codificación y que dan la base para que otras herramientas a su vez puedan ofrecer una conexión segura mientras navegamos. Básicamente su finalidad es codificar nuestros datos para que nadie pueda acceder a ellos. OpenSSL está basado en SSLeay y su carácter abierto y seguro ha sido la razón de que esté tan extendido. Además, OpenSSL también permite aplicar certificados digitales en servidores como Apache. En total los servidores que podrían depender de OpenSSL se cuentan entre el 66% de todo internet, lo que no quiere decir que lo usen, pero es lo más común.

El fallo de OpenSSL no depende de nuestros ordenadores, sino de los servidoresAquí es donde llega heartbleed. Éste afecta a una de las librerías de codificación, por lo que un atacante podría acceder a nuestros datos como contraseñas, nombres o datos bancarios aún a pesar de que que estos datos estén cifrados. Por desgracia, heartbleed no es un fallo que dependa de nuestros ordenadores sino del servidor que usa OpenSSL para ofrecernos seguridad. Eso quiere decir que un hacker puede atacar directamente al servidor cuando pasa nuestra información para robarla sin que podamos poner medidas sobre el fallo.

La referencia exacta a heartbleed es CVE-2014-0160 y lo que hace único a este fallo es que afecta a una cantidad enorme de servidores y, por tanto, de personas que usan esos servidores en el mundo, siendo un fallo que pone nuestros datos más importantes al descubierto y de una forma relativamente sencilla. Y por si fuera poco, sin dejar rastro alguno del robo. Ya se está trabajando muy duro para ponerle solución, desde todos los niveles, lo que implica que la gran mayoría de servidores deberán ponerse al día y mejorar ampliamente sus capacidades en seguridad. Pero mientras tanto debemos ser nosotros los que estemos muy atentos ante este fallo o heartbleed.

¿Qué puedo hacer ante heartbleed?

Veamos, esencialmente no podemos poner ninguna solución. A no ser que tengamos un servidor, claro. Por tanto lo único que está en nuestras manos es la prevención. Tal y como explicábamos, la única manera de evitar que nuestros datos no sean captados por un atacante es evitar pasar por los servidores afectados por heartbleed. Para ello ya se han dispuesto diversas medidas para comprobar si una página está afectada por heartbleed o no. Por tanto, antes de dirigirnos a una página sensible, es decir, donde tengamos que introducir nuestros datos personales como nombre, apellidos, contraseñas o datos bancarios, deberíamos comprobar si está afectada por el problema de heartbleed.

Para ello podemos usar varias medida. En primer lugar existe una dirección para comprobar la seguridad de una dirección con respecto a heartbleed. Denominada heartbleed test, entre otras, esta página nos dirá si la dirección está libre de este fallo de seguridad. Si no lo está, esto quiere decir que un hacker podría utilizar el error de heartbleed para obtener la información que le diese la gana. Eso no quiere decir que haya un hacker detrás escuchando, pero si lo hubiese, jamás lo sabríamos. Por otro lado, existe también una extensión de Google Chrome que nos indica si alguno de los sitios que Existen varias opciones para comprobar si una dirección está afectadaestamos visitando está afectado por heartbleed. Aunque esto puede resultar ya tarde y lo mejor es ser todo lo precavidos que podamos de antemano.

En caso de tener un servidor con OpenSSL, su versión debería ser la 1.0.1g o superior ya que el equipo tras OpenSSL ya ha puesto solución a heartbleed estas versiones. En caso de no poder cambiar la versión, siempre se puede recompilar OpenSSL con la opción -DOPEMSSL_NO_HEARTBEATS, aunque en cualquier caso lo mejor es dirigirse a una solución especializada. Así que, como vemos, en esta ocasión lo único que queda es prevenir y esperar, aunque por diferentes fallos técnicos nos tememos que heartbleed va a ser un fallo que dejará su huella durante mucho tiempo en la red. ¿Creará esto un efecto pre y post-heartbleed? La parte buena de todo este asunto es que se ha puesto de manifiesto la importancia de ser más precavido con la seguridad en las redes, aunque haya sido por las malas.

Descargar: Chromebleed extension para Chrome Gratis

Un bug amenaza internet y no hay mucho que puedas hacer

¿Qué se puede hacer?

También en Hipertextual:

Todo lo que necesitas saber sobre heartbleed y la seguridad de OpenSSL

¿En qué consiste el fallo de seguridad de OpenSSL o heartbleed?

¿Qué puedo hacer ante heartbleed?

También en Hipertextual: