“Heartbleed”, la mayor falla de seguridad en Internet

Heartbleed tiene dos años operando y nadie se había dado cuenta.

Tu página favorita o tu propia web, ya sea personal o empresarial, pueden estar afectadas. Revisa qué es este bug, cómo afecta a todos por igual y qué tienes que hacer para protegerte.

Sin caer en amarillismos, ésta podría ser la primera gran falla tecnológica que el ser humano contemporáneo haya tenido registro desde que Internet se integró a nuestras vidas.

Ingenieros de Google y de la empresa de seguridad informática Codenomicon descubrieron una falla que afecta a los códigos OpenSSL, muy usados en las páginas web para la encriptación de datos en Internet.

A esta falla se le denominó “Heartbleed” y existe desde marzo de 2012, pero fue descubierto hasta el pasado lunes 7 de abril de 2014.

La magnitud de la falla fue calculada por los expertos de la siguiente forma: dos tercios de los servidores web alrededor del mundo quedaron vulnerables ante cualquiera, comúnmente conocidos como hackers, que quisiera revisar todos los datos y llevárselos de la manera más fácil y sin dejar rastro alguno para ser localizado.

Cualquier empresa que en su página de Internet utilice estos códigos OpenSSL para la encriptación de los datos quedó expuesta. Estos sitios se pueden identificar por ser páginas HTTPS, con el icono de un pequeño candado en la barra de direcciones, que supuestamente informaba a los usuarios que los datos que envían estaban “protegidos” ante los hackers.

Pero no era cierto.

Grandes empresas tecnológicas de la talla de Google, Facebook, Yahoo! y Amazon, han dicho que ya tomaron medidas, es decir, cualquier usuario de estos gigantes pudo estar a merced de los hackers.

Desde contraseñas de correo electrónico, tarjetas de crédito “seguras”, comunicaciones de los usuarios de sitios web, aplicaciones de mensajería instantánea o redes virtuales privadas… todo lo anterior y más quedaron expuestos.

Y no estamos hablando de un virus. Esta falla nace de un error de implementación de la función heartbeat de OpenSSL (el porqué del nombre) y la gravedad radica en que estamos ante un bug (agujero) de primer nivel, o sea una enorme falla en el sistema de protección de datos.

Las versiones que fallaron fueron las 1.0.1 y 1.0.1f de OpenSSL, proyecto fundado por Eric A. Young y Tim J. Hudson.

Desde que se conoció la falla, los responsables de OpenSSL dieron a conocer el problema y publicaron una actualización que lo soluciona.

“Seguramente estás afectado, de forma directa o indirecta”, dice el sitio de Heartbleed.com, una página creada para explicar el incidente informático.

“El OpenSSL es el código abierto más utilizado. Tu popular red social, el sitio de tu empresa, de comercio electrónico, incluso los sitios administrados por el gobierno podría estar usando OpenSSL vulnerable”, recuerda en un artículo la BBC Mundo.

Algunas páginas han sido creadas para saber si tu página favorita ha estado expuesta a la falla de OpenSSL, tales como: http://filippo.io/Heartbleed, creada por el experto en seguridad Filippo Valsorda.

Las personas no deben cambiar sus contraseñas a sus cuentas de correo, redes sociales o de servicios financieros, hasta que no estén seguros que la página o la empresa que hospeda estos servicios haya tomado las medidas para protegerse de esta falla.

“Para los sitios web, el proceso de corrección del fallo implica la instalación de parches de software en los equipos de sus centros de datos y luego cambiar la clave del software confidencial utilizado para proteger los mensajes y transacciones”, según dice la BBC Mundo.

¿Qué tan grave es el problema?

Si se toma en cuenta lo que los expertos en seguridad informática han dicho, la falla pudo haber tenido graves consecuencias, pero nadie podría saber de qué magnitud.

Lo anterior porque no pueden saber si alguien, hackers, conocían esta falla tecnológica; de ser lo contrario, no se podrían rastrear sus movimientos en los robos informáticos (datos).

Todo es un misterio. Sin embargo, lo que no es misterio es que las cuentas de cualquier servicio en Internet de millones de usuarios, estuvieron expuestas y pudieron haber sido víctimas de robo de información personal que se creía protegida.

A pesar de todos los avances tecnológicos que han revolucionado la vida del ser humano en las últimas décadas, el principio o derecho de seguridad informática se ha visto violado por las corporaciones, y sus departamentos de e-seguridad, a las que hemos depositado nuestra confianza.

¿Habrá castigos? ¿Habrá enseñanzas aprendidas a partir de estos errores? ¿Cómo saber cuál es la magnitud del error si ni siquiera sabemos cómo medirlo?

Estamos ante un hecho sin precedentes. Las tragedias contemporáneas las podemos ver a través de nuestros ojos, una pantalla de tv o una imagen fija (terremotos, huracanes, incendios, todo tipo de cataclismos); sin embargo, las tragedias o fallas tecnológicas, como se les ha llamado, no podemos verlas, porque existen en el mundo electrónico, pero pueden causar otro tipo de desastres de terribles consecuencias.
BY: Enrique Duarte

FUENTE: http://www.quiminet.com/empresas/heartbleed-la-mayor-falla-de-seguridad-en-internet-3734562.htm?fj=667255627227421266744O3318948871736331839633126750312933345