Heartbleed, un fallo de máxima gravedad en la encriptación de la red

In Tecnología by Jesús García BlancoLeave a Comment

No es una exageración: estamos ante el fallo de seguridad más grande de la historia de internet. Con la revelación de este grave error se ha descubierto que las páginas que creían que utilizaban un sistema de encriptación seguro y fiable podrían haber sido interceptadas las comunicaciones que incluyesen datos como contraseñas, tarjetas de crédito, datos personales…

El fallo se encuentra en la librería OpenSSL que es la más usada en todo el mundo para cifrar las páginas web que se muestran con el típico https://. Se cree que un tercio de todos los servicios mundiales utilizaban este protocolo y tendrán que actualizarlos manualmente uno a uno. Por otra parte la corrección del fallo OpenSSL ya está disponible con su última actualización OpenSSL 1.0.1g, lo único que hace falta es que todos los servidores y cada uno de los proveedores actualicen sus códigos de seguridad a dicha versión para corregirlo.

 

¿Cómo funciona este fallo?

Tal y como nos explican en genbeta este fallo está producido por un error en el propio OpenSSL que está escrito en C y permite, simplificando mucho las cosas, que un hacker envíe un paquete de datos al servidor y, mediante un mecanismo que explican muy bien en esta página, obtener una serie de datos de la sesión del usuario anterior que podría contener tanto información irrelevante como contraseñas o cosas aún peores.

Explicado de forma que todo el mundo lo entienda: imaginémonos que estamos escribiendo en una máquina de escribir. Nosotros tecleamos nuestro mensaje, se queda en el papel y listo, pero en el papel donde se encuentra la tinta, la cinta entintada, también ha quedado ese mensaje impreso. Normalmente, ya que se trata de un mensaje secreto, lo destruimos cuando acabamos para que nadie pueda leerlo. El fallo está en que antes de que lo hayamos podido destruir otra persona ha venido y ha tenido acceso a las últimas 40 letras que hemos tecleado viendo la cinta entintada sin que nadie se percate.

 

Se sabe que lleva ya 2 años siendo explotado el fallo aunque aún se desconoce si alguien lo ha utilizado los resultados de los ataques o si en los próximos días lo van a reivindicar.

 

¿Qué puedo hacer yo?

Pues vas a tener que tomarte este fallo bastante en serio porque es muy grave. Estos son los pasos que debes seguir:

  • Accede siempre a páginas web seguras. Para comprobarlo solo tienes que introducir la dirección en esta página y realizar el test.
  • Si se trata de un servidor seguro inicia sesión y cambia tu contraseña, más aún si se trata de tu cuenta bancaria, un servicio de datos (Dropbox, iCloud, Drive…) o algún sitio con datos personales susceptibles de ser utilizados fraudulentamente.

Si vas a realizar algún pago por internet asegúrate antes de consultar si la página ha solucionado ya el fallo. Paypal ya lo ha hecho por lo que si puedes optar por pagar con este sistema mejor.

 

Verificación en 2 pasos

La verificación en 2 pasos es un mecanismo de seguridad que cada vez más servicios están implementando. Su funcionamiento es muy sencillo: configuras tu smartphone para que cada vez que inicies sesión en el ordenador se envíe un código que tienes que introducir. Si alguien intenta entrar en tu cuenta te llegará el código y no podrán acceder porque solo se envía a tu móvil.

Aquí tienes una lista de todos los servicios que actualmente están ofreciendo este sistema de protección.

 

 

Servicios comprometidos

Todos los servicios han podido ser hackeados pero un usuario de Gitub se ha preocupado en comprobarlos uno a uno. Aquí tienes la lista completa y este es un pequeño resumen:

  • Apple
  • Google
  • Facebook
  • Twitter
  • Tumblr
  • Flickr
  • Instagram
  • Yahoo
  • Ebay
  • PayPal
  • Dropbox
  • Netflix
  • SoundCloud
  • WunderList
  • adf.ly
  • addthis
  • 500px