Seguridad

Algunos trucos para protegernos frente a Heartbleed

Algunos trucos para protegernos frente a Heartbleed
Escrito por Redacción TICbeat

Heartbleed no deja huellas y no hay forma de saber si un ‘hacker’ lo ha aprovechado para robar nuestros datos, pero existen medidas para blindarnos a partir de ahora.

Con Heartbleed se ha caído un mito: el de la seguridad de la biblioteca OpenSSL. Después de que un grupo de investigadores de Google y Codenomicon descubrieran que una de las versiones del utilizadísimo protocolo de seguridad contaba con un fallo en una de sus funciones, se ha llegado a la terrible conclusión de que durante los dos últimos años la seguridad de más de dos tercios de todas las webs del mundo ha estado comprometida.

OpenSSL es un protocolo que se ocupa de proteger la seguridad de los usuarios cuando realizan tareas que involucren información personal, como introducir una contraseña, los datos de una tarjeta bancaria o escribir un correo electrónico. Suele estar representado por un icono en forma de candado, que aparece junto a la barra de direcciones de nuestro navegador. La biblioteca, sin embargo, ha sufrido un error que permitía, según los analistas de la firma de seguridad Kaspersky, el robo de datos confidenciales de los usuarios como nombres, contraseñas o, incluso, “la clave privada que utiliza el servidor para mantener cifrada su conexión”.

Una de las dificultades que atañe Heartbleed es que resulta muy difícil, si no imposible, comprobar si un hacker ha aprovechado estos dos años para apropiarse de nuestra información personal. Como explican desde Kaspersky, “la explotación de Heartbleed no deja huellas por lo que no existe forma exacta de saber si el servidor fue hackeado y qué tipo de datos se han podido robar”.

Además, aunque OpenSSL ha corregido el bug mediante un parche, según la firma de seguridad, “no se puede garantizar que todas las páginas webs afectadas por Heartbleed lo hayan instalado”. Queda, pues, en manos de los usuarios comprobar si las páginas por las que navegan están protegidas o comprometen sus datos confidenciales.

Kaspersky propone tres medidas básicas para protegernos, a partir de ahora, de Heartbleed:

Comprobar si las páginas que visitamos con frecuencia han estado expuestas. La firma de seguridad propone el uso de herramientas como Heartbleed Test para comprobar si la web continúa siendo vulnerable, o consultar algunas de las listas de servicios afectados para conocer si lo ha estado en algún momento. Yahoo y Flickr son algunas de las víctimas internacionales, y en España se han visto afectados los servicios online de Banca Sabadell, OpenBank y Caja 3 (más aquí).

Asegurarnos de que nuestro navegador utiliza los nuevos certificados de seguridad. Kaspersky explica que las webs que hayan corregido este error de seguridad habrán cambiado, en consecuencia, los certificados del sitio, pero ello no impide que nuestro navegador pueda seguir utilizando un certificado antiguo. Esto se soluciona habilitando la opción de comprobación de revocación de certificados de nuestro navegador, o pulsando en el candado verde que aparece junto a nuestra barra de direcciones y eligiendo la opción “Información”, para conocer su fecha.

Cambiar nuestras contraseñas en todos aquellos servidores que hayan cambiado su certificado. Eso significa que había un fallo de seguridad que reparar y que nuestra clave puede haberse visto expuesta en algún momento.

Foto cc: snoopsmaus

 

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.