Hoy os alertamos sobre un problema de seguridad muy grande, el Bug Heartbleed, que potencialmente ha puesto en peligro la asombrosa cifra de 2/3os de los sitios web seguros en Internet. Es necesario cambiar las contraseñas, y necesita empezar a hacerlo ahora.
¿Qué es Heartbleed y por qué es tan peligroso?
En un fallo de seguridad típica, los registros de usuario / contraseñas de una compañía están expuestos. Es horrible cuando sucede, pero es un asunto aislado. La compañía X tiene un fallo de seguridad, emitirá una advertencia a sus usuarios, y las personas como nosotros para recordarnos a todos que es hora de empezar a practicar una buena higiene de seguridad y actualizar las contraseñas. Por desgracia, estas infracciones típicas son lo suficientemente malas de por sí. Pero el bug Heartbleed es algo mucho, mucho peor.
El bug Heartbleed socava el esquema de cifrado que nos protege mientras enviamos correos electrónicos, usamos la banca online o interactuamos con los sitios web que creemos son seguros. He aquí una burda descripción de Codenomicon, el grupo de seguridad que descubrió y alertó a la opinión pública del error:
El bug Heartbleed es una grave vulnerabilidad en la popular biblioteca de software criptográfico OpenSSL. Esta debilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL / TLS utilizado para asegurar la navegación por internet. SSL / TLS proporciona seguridad a las comunicaciones y la privacidad a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes virtuales privadas (VPN).
El bug Heartbleed permite a cualquier persona en el Internet leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar las comunicaciones, robar los datos directamente de los servicios y de los usuarios para suplantar dichos servicios y sus usuarios.
Eso suena muy mal, ¿no? Suena aún peor cuando te das cuenta de que casi dos tercios de todos los sitios web que utilizan SSL están utilizando esta versión vulnerable de OpenSSL. No estamos hablando de pequeños sitios como foros de coches de carreras o sitios de intercambio de juegos de cartas coleccionables, estamos hablando de bancos, compañías de tarjetas de crédito, los principales mensajes de los minoristas y proveedores de correo electrónico. Peor aún, esta vulnerabilidad ha estado entre nosotros alrededor de dos años. Y en estos dos años alguien con el conocimiento y las habilidades adecuadas podría haber hecho uso de las credenciales de inicio de sesión y las comunicaciones privadas de un servicio que usted utiliza (y, de acuerdo con las pruebas realizadas por Codenomicon, hacerlo sin dejar rastro).
Aunque ningún grupo ha hecho alarde de acceder a las credenciales y la información con dicho bug, llegado este punto, tiene que asumir que sus credenciales de inicio de sesión para los sitios web que usted frecuenta han sido comprometidos.
¿Qué hacer ante el bug Heartbleed?
Cualquier violación de seguridad a gran escala (y esto ciertamente se califica a gran escala) precisa que evalue sus prácticas de gestión de contraseñas. Dado el amplio alcance del bug Heartbleed, esta es una oportunidad perfecta para revisar su sistema de gestión de contraseñas en busca de buen funcionamiento, o si usted ha estado viviendo en la luna, para instalar una de ellas.
Antes de lanzarse a cambiar inmediatamente sus contraseñas, tenga en cuenta que la vulnerabilidad sólo está parcheada si la compañía ha actualizado a la nueva versión de OpenSSL. La historia salió a la luz el lunes, y si se apresuraron a cambiar inmediatamente sus contraseñas para cada sitio, la mayoría de ellas todavía estará ejecutando la versión vulnerable de OpenSSL.
Ahora, a mediados de semana, la mayoría de los sitios han comenzado el proceso de parcheado y supuestamente se puede asumir que la mayoría de los sitios web de alto nivel ya han solucionado el problema.
Usted puede utilizar el Heartbleed Bug checker mediante este enlace para ver si la vulnerabilidad todavía está abierta, o si el sitio no está respondiendo a las peticiones del programa anteriormente mencionado, se puede usar el LastPass’s SSL date checker para ver si el servidor en cuestión ha actualizado su certificado SSL recientemente (si la fecha de actualización data de después del 07/04/2014 es un buen indicador de que han parcheado la vulnerabilidad.) Nota: si ejecuta howtogeek.com a través del bug checker devolverá un error porque no usamos cifrado SSL en primer lugar, y también hemos comprobado que nuestros servidores no están infectados por software malicioso.
Dicho esto, parece que este fin de semana se perfila para ser un buen fin de semana para tomar en serio la actualización de sus contraseñas. En primer lugar, se necesita un sistema de gestión de contraseñas. Por ejemplo Lastpass. Usted no tiene que utilizar LastPass, pero sí es necesario algún tipo de sistema que le permita controlar y administrar una única y fuerte contraseña para todos los sitios web que visite.
En segundo lugar, necesita empezar a cambiar sus contraseñas.
En tercer lugar, habilitar la autenticación de dos factores siempre que sea posible. Esto le permite añadir una capa adicional de identificación a su cuenta de usuario.
Con Gmail, por ejemplo, la autenticación de dos factores requiere que tenga no sólo su nombre de usuario y contraseña, sino también acceso al numero de teléfono móvil vinculado a su cuenta de Gmail para que pueda recibir un mensaje de texto con un código de acceso al iniciar sesión desde un equipo diferente.
La autenticación de dos factores activada hace que sea muy difícil para alguien que ha tenido acceso a su nombre de usuario y contraseña (como podría ser el caso con el Bug Heartbleed) acceder a su cuenta de usuario.