El pasado 7 de abril se dio a conocer una grave noticia que desató el pánico a nivel mundial: Se descubrió un error llamado Heartbleed (corazón sangrante), calificado por los expertos como el mayor fallo de seguridad en la historia de Internet.
Lo que provocó tal error no fue un virus ni un malware sino una programación deficiente en una extensión de OpenSSL, uno de los sistemas de encriptación más usados en el mundo, la cual expuso la información personal de millones de usuarios de la Red.
Heartbleed es una grave vulnerabilidad que permitiría a piratas informáticos recuperar datos ingresados en la memoria de los servidores durante conexiones seguras, sin dejar rastro alguno, comprometiendo de esta manera las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, así como los nombres y las contraseñas de los usuarios.
Aunque las vulnerabilidades en los softwares de seguridad van y vienen, esta es particularmente grave no solo porque requiere que quienes hayan usado estas páginas con fallos cambien sus contraseñas sino también que los sitios Web realicen importantes cambios dentro de sus plataforma.
Sí, aunque OpenSSL solventó el fallo no hay garantías de que todos los sitios y servicios afectados por Heartbleed apliquen el parche que mitiga el problema. También se descubrió que el bug, detectado por ingenieros de Google, además de ser muy fácil de utilizar, existe desde 2011, lo que significa que posiblemente muchos certificados de seguridad hayan sido robados, así como datos sensibles.
El dato: Heartbleed no afectó a todas las versiones de OpenSSL y aunque no se sabe con certeza si fue usado por piratas informáticos, los administradores de sitios con versiones riesgosas del software de encriptación deben actualizarlas con otras más recientes y más seguras e instalar actualizaciones que fueron lanzadas de emergencia.
También será preciso cambiar las identificaciones de seguridad que permiten a los usuarios en internet confirmar su autenticidad, ya que los piratas podrían crear copias fraudulentas para engañar a los usuarios y así recuperar más datos.
Los gigantes también tiemblan
Tras la alerta del grave fallo, gran cantidad de sitios Web fueron revisados para determinar si fueron víctimas de tal vulnerabilidad, y las empresas de Internet corrieron a colocar parches en sus sistemas.
En una situación como esta los usuarios suelen alarmarse y las empresas de Internet están en la obligación de mantenerlos informados sobre el problema. Así que con la misma premura con que las empresas intentaron solventar el fallo, también tuvieron que declarar si Heartbleed los había afectado o no.
Desde sus oficinas de Mountain View los chicos de Google indicaron que aunque Google Chrome y Chrome OS no fueron afectados, allí aplicaron el parche de seguridad a algunos de sus servicios:
“Hemos evaluado esta vulnerabilidad y aplicamos parches a nuestros principales servicios como Search, Gmail, Youtube, Wallet, Play, Apps y App Engine… Google Chrome y Chrome OS no están afectados. Todavía estamos trabajando para arreglar algunos otros servicios de Google. Nosotros buscamos vulnerabilidades como estas de manera regular y proactiva y animamos a otros a denunciarlos, para que así podamos corregir defectos de software antes de que puedan ser utilizados”, aseguró la empresa.
Facebook no se quedó atrás y saltó al ruedo para sugerir que Heartbleed era una noticia vieja para ellos porque era algo que ya habían arreglado hace tiempo.
“Añadimos protecciones para la aplicación de Facebook de OpenSSL antes de que este problema se hiciera público y continuamos monitoreándolo de cerca», dijo un portavoz.
Así que aunque afortunadamente para muchos usuarios Facebook y Google no se vieron afectados por el error, sitios como Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, 500px y muchos otros sí fueron vulnerables a posibles ataques, incluyendo servicios bancarios.
Algunos bancos españoles no habrían contado con la misma suerte: los servicios online de Banco Sabadell, Openbank y Caja 3, según la Asociación de Usuarios de bancos, Cajas y Seguros (ADICAE), que ha solicitado al sector bancario y de medios de pago en España la máxima transparencia para evitar en la medida de los posible ataques al sistema. Asimismo ha recomendado a los usuarios no utilizar los servicios de banca online hasta que la amenaza de seguridad esté totalmente resuelta.
Y por prevención…
Ahora, tras conocer este fallo que podría haber afectado alguno de los servicios que utilizamos, ¿cómo podríamos protegernos?
Como usuarios podemos verificar si los servicios que utilizamos aún son vulnerables a Heartbleed, tal como la que nos recomienda la gente de McAfee, cuyo vicepresidente de marketing del área de consumo ha explicado que:
“En medio de toda la información confusa que hay sobre este tema, nuestra herramienta facilita a los usuarios el acceso rápido a la información que necesitan. Así, pueden decidir si deben cambiar sus contraseñas y recuperar la confianza en la navegación por internet”.
Así las cosas, la Web gratuita donde podemos revisar si una página que nos interese está afectada por Heartbleed es: http://www.mcafee.com/heartbleed.
Por su parte, los expertos en seguridad de Kaspersky Labs nos explican que cuando los propietarios de las webs afectadas corrigen el error cambian también los certificados del sitio, por lo que hay que comprobar que el navegador está utilizando la comprobación de revocación de certificados. Esto evitará que el navegador utilice certificados anteriores al 8 de abril de 2014.
El dato: Para comprobar la fecha de emisión del certificado de forma manual, basta con pulsar en el candado verde en la barra de direcciones y hacer clic en «Información» en la pestaña «Conexión». Finalmente, después de verificar que el servidor ha arreglado el fallo y que el certificado ha sido actualizado, debes cambiar tu contraseña inmediatamente.
Desde Panda Security nos recomiendan estar atentos a los principales servicios Web que utilicemos, ya que cada uno avisará cuando esté corregida esta vulnerabilidad en su sistema. Hasta ese momento, no es seguro hacer login en él.
Generalmente solemos pensar que Internet es un lugar seguro, y aunque sabemos de la existencia de los piratas informáticos, muchas veces no pensamos que efectivamente podríamos vernos afectados si ocurriera un fallo en la seguridad de la Red.
Mucho menos pensamos en riesgos cuando ingresamos a alguna página Web que nos indica que usamos una dirección segura, como en el caso de los bancos. Sin embargo, Heartbleed no hace más que recordarnos que en Internet nada está completamente garantizado.