El fallo de seguridad en Internet Heartbleed, como ha sido denominado, llevaba un par de años sin haber sido detectado, hasta hace unos días. Esta vez, el fallo se ha producido en una de las librerías SSL más utilizadas en Internet, la librería de OpenSSL, y ha creado una gran alarma en el mundo de la seguridad de la red. Pero, ¿qué son las librerías SSL, tan importantes son? Pues sí, son las instrucciones que utilizan los servidores web para cifrar las comunicaciones con los navegadores de los usuarios, por ejemplo. Y el problema es precisamente ése, que el código de esas instrucciones para garantizar la privacidad de nuestros datos cuando viajan por la red tenía un fallo. Y muy grave.
¿Por qué afecta a nuestra seguridad?
El fallo de seguridad en Internet Heartbleed permite que un programador con mala fe pida un número de datos elevado a un servidor que ejecute la librería OpenSSL, que son alrededor del 80% de los servidores web con SSL del mundo (los servidores web que aparecen con el candado de seguridad, vamos). Y el servidor responde con el contenido de su memoria, que no está cifrada. Seguramente que en la memoria del servidor haya mucha información que no sirva para nada. Pero si el programa pide datos una y otra vez durante un tiempo, acabará apareciendo un par de datos del tipo usuario/contraseña. Y con tiempo, la lista de usuarios y contraseñas que se pueden llegar a obtener puede ser enorme.
¿Qué puede hacer el usuario final?
Esperar. Sólo eso. En este momento la mayoría de servidores están actualizados con una nueva librería SSL que ya es segura. Y dado que sólo es posible capturar los datos de usuarios que estén en ese momento en la memoria del servidor, no es nada recomendable entrar corriendo a cambiar las contraseñas ahora. Si el servidor al que accedemos aún no tiene implementada la corrección, lo único que conseguiremos será exponer nuestros datos a un posible atacante. Así que dejemos que los informáticos actualicen sus servidores durante al menos una semana, antes de cambiarlas. Eso sí, cámbielas, pero no antes. Actualización a 15 de abril de 2014. Ya es recomendable cambiar TODAS LAS CONSTRASEÑAS de aquellos sistemas que se han visto afectados.
¿Y eran inseguros todos los servidores del mundo?
Todos no, pero sí la gran mayoría. Sólo aquellos servidores que implementaban las versiones desde la 1.0.1 hasta la 1.0.1f de OpenSSL tienen el fallo de seguridad. Existe una herramienta de comprobación de servidores, por si alguien desea comprobar si sigue existiendo el fallo, en este enlace. Una buena manera de saber si ya podemos cambiar nuestras contraseñas. En Zinetik Consultores somos especialistas en auditar sistemas informáticos y resolver este tipo de problemas. Si este es su caso, no duden en contactar con nosotros.
Usamos cookies en nuestro sitio web para brindarle la experiencia más relevante recordando sus preferencias y visitas repetidas. Al hacer clic en "Aceptar todo", acepta el uso de TODAS las cookies. Sin embargo, puede visitar "Configuración de cookies" para proporcionar un consentimiento controlado.
Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duración
Descripción
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.