Heartbleed: Un agujero en sitios web seguros

heartbleed_openssl

Como nuestro interés es que todo el mundo pueda entender de que trata este tema, primero haremos una reseña lo mas simple posible, para no crear una alarma sensacionalista sobre este tema de seguridad web.

Heartbleed es una falla, a nivel de servidor, en la protección de los datos en sitios seguros, que le permitiría a terceros capturar nuestra información y poder descifrarla, sitios web institucionales, redes sociales, la mensajería instantánea y los correos se pudieron ver afectados y aunque es alarmante no significa que estos datos hayan quedado disponibles para cualquiera ni que fuera algo sencillo de hacer.

Según las informaciones recopiladas esto sucede desde mediados del 2013 hasta hace un par de semanas, y los sitios más afectados fueron Google, Facebook, Twitter y Yahoo, claro que también se ven afectados sitios webs bancarios y otros.

Es recomendable periódicamente o por lo menos cada cierto tiempo cambiar las claves de lso sitios que son “delicados”, como aquellos que son bancarios como ejemplo.

Ok, ahora iremos más profundo con la explicación:

Cuando accedemos a un sitio web bajo HTTPS y aparece un candado en nuestra barra de navegación asumimos que es un sitio seguro y que el intercambio de datos que realizamos está cifrado, libre de terceros que intenten interceptar nuestros datos.


Sin embargo, desde la madrugada del lunes al martes se está hablando mucho de las conexiones SSL, concretamente, de los servicios que ofrecen conexiones cifradas apoyándose sobre OpenSSL puesto que se ha descubierto una grave vulnerabilidad de este componente que pone en riesgo las comunicaciones de muchos de los sitios web que, quizás, usemos a diario. Aunque el problema nos afecta a todos los que usamos Internet a diario, nada podemos hacer como usuarios, sino que son los administradores de sistemas los quienes tienen mucho trabajo estos días.

OpenSSL es una de las bibliotecas de criptografía más usadas en los servidores web (más de dos tercios de los servidores web que ofrecen conexiones seguras con SSL se apoyan en este componente); por tanto, que aparezca una vulnerabilidad es algo para tomarse muy en serio. Catalogada con el código CVE-2014-0160, esta vulnerabilidad ha sido descubierta por expertos de Google y la compañía de seguridad Codenomicon y ha sido “bautizada” bajo el apelativo de Hearthbleed al estar vinculada a la funcionalidad heartbeat de OpenSSL

Como afecta

La clave privada no se comparte con nadie y es la base sobre la se apoya el cifrado de las comunicaciones; sin embargo, la funcionalidad heartbeat que implementaba OpenSSL presenta un fallo en el que responde con un dato que revela porciones de la memoria interna utilizada por este proceso. Dicho de otra forma, OpenSSL estaba revelando datos de la memoria del servidor en el que se estaba ejecutando y, claro está, entre los datos que están en su memoria se encuentra la clave privada (necesaria para realizar los cálculos de cifrado y descifrado de mensajes). Con este escenario, sin el que el administrador del sistema sea consciente, la clave privada podría haber quedado expuesta a un tercero que hubiese explotado esta vulnerabilidad, desmontando la seguridad de este tipo de comunicaciones.

Como se soluciona

No es del alcance del usuario final la solución más que tener en cuenta que no debe compartir sus claves con nadie ni ingresarlas en sitios que no tengan una seguridad reconocida por el explorador, más allá de eso crear la costumbre de cambiar sus claves con regularidad, ahora para los proveedores de servicios la solución pasa por la instalación de la nueva versión de OpenSSL que se ha lanzado, precisamente, para corregir esta vulnerabilidad.

Lino Cisterna

CEO&Founder RevistaProware.com Aficionado a las Ciencias, Física Teórica, (G)Astronomía, Sociología, Psicología, Teorías de la Tecnología (AAT).

2 Comments:

  1. Pingback: Contraseñas que se deben cambiar debido al fallo de seguridad en Internet Heartbleed

  2. Pingback: Bash bug de Linux podría ser peor que Heartbleed

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *