Los usuarios de Internet reciben recomendaciones para que cambien sus contraseñas por la falla de seguridad en OpenSSL

Los usuarios de Internet de todo el planeta se han llevado una sorpresa con una alerta de seguridad todavía no explicada de forma total. Varias compañías de tecnología están pidiendo que los usuarios cambien sus contraseñas, después de haberse descubierto un grave problema de seguridad.

El problema parece afectar a OpenSSL, una capa de software usada para garantizar la seguridad de los datos en las transacciones.

En vez de proteger, el propio programa podría haber sido usado para permitir el espionaje.

OpenSSL

OpenSSL es una plataforma de criptografía usada para encriptar información sensible enviadas de un ordenador a otro, de modo que el proveedor de servicio y los destinatarios puede interpretar estas informaciones intercambiadas.

Si una organización emplea OpenSSL, los usuarios pueden ver un icono de candado en su navegador.

Según el sitio de OpenSSL “una falla en la verificación de los límites de manipulación de la extensión TLS Heartbeat puede ser usada para revelar hasta 64K de memoria de un cliente o servidor conectado”.

heartbleed

En una referencia la rutina Heartbeat (latido del corazón), el ataque fue bautizado con el nombre de corazón sangrante.

La nota también dice que solo las versiones 1.0.1 y 1.0.2 beta de OpenSSL y sus variantes fueron afectadas.

La instrucción es que los administradores de los servicios actualizen OpenSSL para la versión 1.0.1g. La versión 1.0.2 de OpenSSL se le ha corregido este fallo y ha sido rebautizada con el nombre de 1.0.2-beta2.

Secretos copiados

Google y Codenomicon, una empresa de seguridad finlandesa, revelaron que una falla existente en OpenSSL hace más de dos años podría haber sido usada para exportar las claves secretas que identifican a los proveedores de servicios que utilizan la plataforma.

Según ellos, si los hackers hicieron copias de estas claves, y pueden robar las contraseñas y nombres de las personas que utilizan los servicios, hacer copias de sus datos y crear sitios web falsos similares a legítima, ya que usarían las credenciales robadas.

“Si las personas acceden a un servicio durante la ventana con la vulnerabilidad, hay una probabilidad de que la contraseña ya haya sido recogida”, dice el director de tecnología de Codenomicon, Ari Takanen. “En este caso, es una buena idea cambiar las contraseñas en todos los portales actualizados”.

fallo-seguridad-internet

Según la BBC, Google alerto a un número selecto de organizaciones sobre el problema antes de hacerlo público, para que estas empresas puedan actualizar sus equipos con una nueva versión de OpenSSL que ha sido publicado al comienzo de esta semana.

Mientras tanto Yahoo, aparentemente no ha sido incluido en esta lista y el sitio de tecnología CNET informo que algunas personas fueron capaces de obtener nombres de usuarios y contraseñas antes de que la empresa pudiese hacer la debida corrección del fallo de seguridad.

Varias empresas de seguridad y desarrolladores independientes publicaron pruebas online para ayudar al público a descubrir que servicios todavía siguen expuestos. Pero no hay una manera simple de descubrir si estos han estado vulnerable más antes.

Sin exageración

Un investigador del Laboratorio de Informática de Cambridge, comenta que sería exagerado decir que todos deberían cambiar sus contraseñas.

“Encuentro un riesgo bajo y medio de que cualquier contraseña haya sido comprometida”, comentaba Steven Murdoch.

«No es igual a las violaciones anteriores de seguridad, en los que se confirmó que las listas de contraseñas fueron publicadas en Internet. No es que sea urgente, pero cambiar las contraseñas es muy fácil. Por lo tanto, no es una mala idea, pero no es algo que la gente tiene que salir corriendo a hacer, pero si el servicio lo recomienda, hay que realizarlo», recomendaba Murdoch.

Descubre más

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *