Fallo de seguridad en Internet HEARTBLEED

Fallo de seguridad en Internet HEARTBLEED

Alerta Zinetik Consultores

Alerta Zinetik Consultores – Openclipart.org

El fallo de seguridad en Internet Heartbleed, como ha sido denominado, llevaba un par de años sin haber sido detectado, hasta hace unos días. Esta vez, el fallo se ha producido en una de las librerías SSL más utilizadas en Internet, la librería de OpenSSL, y ha creado una gran alarma en el mundo de la seguridad de la red.

Pero, ¿qué son las librerías SSL, tan importantes son? Pues sí, son las instrucciones que utilizan los servidores web para cifrar las comunicaciones con los navegadores de los usuarios, por ejemplo. Y el problema es precisamente ése, que el código de esas instrucciones para garantizar la privacidad de nuestros datos cuando viajan por la red tenía un fallo. Y muy grave.

¿Por qué afecta a nuestra seguridad?

El fallo de seguridad en Internet Heartbleed permite que un programador con mala fe pida un número de datos elevado a un servidor que ejecute la librería OpenSSL, que son alrededor del 80% de los servidores web con SSL del mundo (los servidores web que aparecen con el candado de seguridad, vamos). Y el servidor responde con el contenido de su memoria, que no está cifrada. Seguramente que en la memoria del servidor haya mucha información que no sirva para nada. Pero si el programa pide datos una y otra vez durante un tiempo, acabará apareciendo un par de datos del tipo usuario/contraseña. Y con tiempo, la lista de usuarios y contraseñas que se pueden llegar a obtener puede ser enorme.

¿Qué puede hacer el usuario final?

Esperar. Sólo eso. En este momento la mayoría de servidores están actualizados con una nueva librería SSL que ya es segura. Y dado que sólo es posible capturar los datos de usuarios que estén en ese momento en la memoria del servidor, no es nada recomendable entrar corriendo a cambiar las contraseñas ahora. Si el servidor al que accedemos aún no tiene implementada la corrección, lo único que conseguiremos será exponer nuestros datos a un posible atacante. Así que dejemos que los informáticos actualicen sus servidores durante al menos una semana, antes de cambiarlas. Eso sí, cámbielas, pero no antes.

Actualización a 15 de abril de 2014. Ya es recomendable cambiar TODAS LAS CONSTRASEÑAS de aquellos sistemas que se han visto afectados.

¿Y eran inseguros todos los servidores del mundo?

Todos no, pero sí la gran mayoría. Sólo aquellos servidores que implementaban las versiones desde la 1.0.1 hasta la 1.0.1f de OpenSSL tienen el fallo de seguridad. Existe una herramienta de comprobación de servidores, por si alguien desea comprobar si sigue existiendo el fallo, en este enlace. Una buena manera de saber si ya podemos cambiar nuestras contraseñas.

En Zinetik Consultores somos especialistas en auditar sistemas informáticos y resolver este tipo de problemas. Si este es su caso, no duden en contactar con nosotros.

Comparte este artículo