El fallo ha estado presente durante dos años,según los investigadores.
Este bug puede desencriptar información sensible, incluidos nombres de usuarios y contraseñas
Investigadores de Google y de la empresa de seguridad Codenomicon detectaron un fallo que, según expertos, es el más grave que se ha presentado en los últimos años en el OpenSSL, un protocolo gratuito utilizado para navegar de forma segura por la web, el cual restringe el acceso de terceros a los datos personales de otros usuarios, como sus correos electrónicos, contraseñas, entre otros. Se trata, ni más ni menos, de una de las bibliotecas de criptología más utilizadas en Internet.
‘HeartBleed’ (‘Corazón Sangrante’) es un bug capaz de capturar y desencriptar desde los nombres de usuario hasta las contraseñas, entre otra información sensible contenida en la memoria de los servidores. Entre los afectados, indicó la compañía de servicios de Internet Netcraft, se encuentran sitios como Dropbox, Twitter, Tumblr, DuckDuckGo y Github. Los proveedores de hosting de Amazon y Heroku también fueron vulnerados.
El fallo, que según los investigadores ha estado en funcionamiento durante dos años, permite a los hackers traspasar la encriptación y lograr que el servidor entregue 64 kilobytes de información cada vez. Eso no parece mucho, pero basta para revelar contraseñas, credenciales bancarias y certificados. Como si fuera poco, es un proceso repetible, por lo que la fuga de información puede seguir ocurriendo durante largo tiempo.
“Algunas versiones de OpenSSL son vulnerables a este fallo de seguridad, por lo que existe la posibilidad que sean propensas a recibir un ataque remoto. Esto significa que un delincuente puede atacar un servidor que esté utilizando un servicio vulnerable y, de forma remota, le pide una cantidad de información específica almacenada en su memoria, haciendo efectivo el robo”, aseguró a EL TIEMPO Joaquín Rodríguez, vocero para Latinoamérica de la firma de seguridad informática ESET.
Si bien no hay forma de saber cuántos y cuáles usuarios fueron afectados, los administradores de sitios web que usan versiones vulnerables de OpenSSL pueden determinar si recibieron un ataque al revisar los logs de sus servidores.
Según Netcraft, unos 500 mil sitios web se han visto afectados por ‘Heartbleed’, lo que representa un 17,5 por ciento del total de sitios que utilizan OpenSSL.
¿Cómo enfrentarlo?
El pasado 7 de abril se publicó la versión de OpenSSL 101g, la más actualizada hasta el momento, la cual corrige este fallo de seguridad. Se puede descargar desde la página oficial de OpenSSL aquí.
Si quiere saber si la versión OpenSSL que utiliza una página en línea específica es vulnerable frente a esta amenaza, puede realizarle un ‘Heartbleed test’ en esta dirección: www.filippo.io/Heartbleed/