Importante recomendación sobre "Heartbleed", la última gran falla mundial de seguridad en internet

Durante las últimas horas, un grupo de investigadores que trabajan en Google y en la empresa de software de seguridad Codenomicon han descubierto un gigantesco fallo de seguridad en OpenSSL, una de las bibliotecas de criptografía más utilizadas de la World Wide Web, el cual amenaza a dos tercios de internet.

La falla ha sido bautizada como “Heartbleed“. La anomalía nace de un error de implementación de la función heartbeat de OpenSSL (de ahí el nombre) y la gravedad radica en que estamos ante un bug de primer nivel, o sea que se puede explotar, en este caso para comprometer los datos y las comunicaciones de los usuarios de sitios web, correo electrónico, aplicaciones de mensajería instantánea o redes virtuales privadas.

Tan peligroso es el asunto que los investigadores han lanzado una página dedicada por entero a desgranar el bug y a responder preguntas relacionadas con él. Por ejemplo en ella explican que la vulnerabilidad en el popular OpenSSL permite que cualquier atacante pueda leer la memoria de los sistemas protegidos por las versiones vulnerables de la biblioteca -desde la 1.0.1 hasta la 1.0.1f incluida- y como consecuencia de eso extraer las claves secretas utilizadas para identificar a los proveedores legítimos de servicios y cifrar el tráfico, los nombres y contraseñas de los usuarios y demás.

Esto significa a nivel de usuario que si alguien ataca algún servicio/aplicación web o cualquier otra cosa que proteja la información sensible con alguna de las versiones vulnerables de OpenSSL explotando el bug que nos ocupa, podrá «capturar» y desencriptar desde nombres de usuario hasta contraseñas pasando por tarjetas de crédito o conversaciones. O también hacerse pasar por un sitio legítimo sin que el navegador web lo detecte y engañar al usuario (por ejemplo si la banca online de X entidad usara OpenSSL y un tercero robara sus llaves, ese tercero podría montar una web-clon de la banca que haría llegar a los usuarios y si alguno accediera, el navegador lo detectaría como el auténtico).

¿Qué hacer?

La recomendación ahora es instalar lo antes posible la última versión de OpenSSL lanzada ayer mismo en la que se ha corregido el error.

 

Tags

Lo Último


Te recomendamos