Heartbleed pone nervioso a todo el mundo

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Robin Seggelmann, el informático alemán que se encargó de elaborar en 2012 las características que definían la seguridad de los datos en la librería de encriptación de código abierto OpenSSL 1.0.1, aseguró que el fallo no fue intencionado. Heartbleed se creó por error y pasó desapercibido a sus revisiones y a las que realizó su supervisor, el consultor británico Stephen Helson. Por eso se procedió a su lanzamiento.

Después de dos años, sus responsables argumentan que ha sido una gran sorpresa para ellos. Su descubrimiento, después de dos años, ha provocado que organizaciones especializadas en utilizar estos errores para delinquir lo hayan aprovechado de manera imperceptible.

Además, se ha puesto a sí misma en el punto de mira las medidas impuestas por Obama para la protección de datos y, sobre todo, a la NSA después de revelar que conocían el bug que se ha llamado Heartbleed. Afirmaron que lo usaron para obtener datos de usuarios durante dos años y que no tenían la obligación de informar porque se trataba de una cuestión de “seguridad nacional”.

Lo que ha sucedido, según expertos, “es el equivalente en programación informática al error ortográfico de escribir Mississippi; es inevitable olvidarse alguna letra pero difícil detectarlo a simple vista por el ojo humano”. En concreto, ha sido un fallo en la implementación de la funcionalidad de hertbeat de TLS/DTLS, lo que permite a cualquier atacante el acceso a la memoria privada de alguna aplicación que utilice esa versión de OpenSSL en bloques de 64k.

Y sí, aplicaciones. Este tsunami ha arrasado dos tercios de todo internet. El bug que permite desencriptar y capturar nombres de usuario y contraseñas, se calcula que de 390.000 aplicaciones de Google Play se han encontrado 1.300 que pueden ser vulnerables y 7.000 que pueden estar en servidores que utilizan estas librerías, según Trend Micro. Entre ellas, 15 apps relacionadas con bancos, 39 con servicios de pago online y 10 con tiendas online.

El especialista de amenazas móviles Veo Zhang explica que los usuarios pueden hacer muy poco para protegerse, aunque pueden empezar con cambiar todas las contraseñas que tengan activas en algún portal o aplicación. Al menos, las que tengan constancia de que utilizan la librería de OpenSSL 1.0.1. Entre ellas: Facebook, Instagram, Pinterest, Tumbrl, Google y todos sus servicios (como Gmail y Youtube), Yahoo y todos sus servicios, Amazon Web Services, Flickr, SoundCloud, Dropbox y Wikipedia.

Otro consejo que da Veo Zhang es dejar de realizar compras a través de aplicaciones o, incluso, abandonar cualquier actividad financiera hasta que se anuncie que se ha realizado un parche de seguridad.

Estos artículos están escritos por todos nuestros managers de ADWE, y por nuestros colaboradores habituales.

Comentarios arrow No hay comentarios

Escribe un comentario

Tu e-mail no será publicado. Los campos marcados con un asterisco son obligatorios.