Interrumpimos las noticias específicas de viddeojuegos para hablar de un problema que afecta a millones de usuarios de la red. Un error en el sistema de cifrado OpenSSL, uno de los más populares del mundo para establecer conexiones seguras, ha dejado expuestos los datos confidenciales de los usuarios de las páginas web. El bug ha sido llamado Heartbleed, por afectar a una extensión denominada hearbeat, "latido del corazón".
El peligro del bug
Heartbleed (oficialmente vulnerabilidad CVE-2014-0160) no sólo permite a un atacante obtener datos confidenciales de los servidores, sino que además no deja rastro de que esos datos hayan sido intervenidos, lo cual complica su seguimiento. Para complicar las cosas, el bug ha estado presente en los sistemas OpenSSL desde diciembre de 2011. Fue identificado por un miembro de Google Security y por ingenieros de la empresa de seguridad Codenomicon en diciembre de 2013, aunque han tardado meses en anunciarlo para dar tiempo a los servicios afectados para subsanar el fallo de seguridad.
¿Cuántos están afectados?
Los medios hablan de dos tercios de servidores efctados en todo el mundo. Esto se refiere a todos los que usan Apache y nginx, el software más común con OpenSSL. Sin embargo, se mete en un mismo saco los servidores vulnerables con aquellos que no usan HTTPS o tienen una versión de OpenSSL sin dicho fallo. Netcraft arroja el más sensato procentaje de 17,5% de sitios afectados, alrededor de medio millón de páginas web.
¿Cuáles son los sitios vulnerables?
Para facilidad de los internautas, se ofrece un servicio para comprobar si un sitio web está afectado o no. Basta colocar la dirección y ver el resultado. Se ha publciado también la lista del Top 1000 de Alexa de portales web. A día 8 de abril, gigantes como Google, Amazon, Facebook, PayPal o Wikipedia estaban protegidos o habían corregido el fallo. Sin embargo, en la lista de sitios vulnerables encontramos nombres como Yahoo, Flickr o Steam Community.
¿Qué podemos hacer?
A nivel de usuario, poca cosa. El fallo lo tienen que corregir los proveedores de servicios. Cambiar las contraseñas es el paso habitual, pero no es recomendable hacerlo mientras el sitio no sea seguro. Por lo tanto, es mejor esperar a que el fallo sea corregido y, mientras tanto, evitar entrar en cuentas sensibles. ADICAE ya ha advertido de que la banca online española se ha visto también afectada y recomiendan no hacer operaciones bancarias por Internet por el momento.
Para más ifnromación podeís consultar la página oficial sobre el bug Heartbleed.
No hay comentarios:
Publicar un comentario