Seguridad

Heartbleed fue usado para atacar CHS, el grupo de hospitales estadounidense

El 57% de las webs aún no está protegida contra Heartbleed, según un estudio
Escrito por Esther Macías

Desde la empresa de seguridad TrustedSec revelan que el robo de datos del segundo grupo hospitalario en Estados Unidos se llevó a cabo utilizando Heartbleed, el fallo de seguridad de OpenSSL.

Esta semana unos de los grandes grupos hospitalarios estadounidenses, Community Health Systems, que gestiona 206 centros en 29 estados, reconocía haber sufrido el robo de más de 4,5 millones de datos de pacientes entre abril y junio. Un experto de seguridad, David Kennedy, responsable de la empresa TrustedSec, ha indicado a Bloomberg que personas relacionadas con la investigación de este ataque le han revelado que los hackers utilizaron el fallo de seguridad Heartbleed, que conmocionó a Internet el pasado mes de abril, para robar los datos (nombres, números de teléfono, direcciones y números de la seguridad social, ya que no se han captado cuentas bancarias). Si esto se confirmara –desde CHS no han dicho nada al respecto– esta sería la mayor brecha de seguridad producida relacionada con el citado fallo de seguridad, que con anterioridad ha sido usado en la Hacienda canadiense y en la red social para padres de origen británico Mumsnet.

Lo único que hasta la fecha sí han señalado los responsables del grupo hospitalario es que el ataque pudo ser realizado por hackers chinos, según les comentaron los expertos del grupo de seguridad Mandiant, que forma parte de la empresa FireEye, y que ve una forma de operar en este ataque muy similar a la realizada en otros casos por un conocido grupo de cibercriminales del país asiático.

Heartbleed

Fue el pasado mes de abril cuando un grupo de investigadores que trabajan en Google y en la empresa de software de seguridad finlandesa Codenomicon detectaron un fallo de seguridad en OpenSSL, una de las bibliotecas de criptografía más utilizadas de la World Wide Web. Se trata de un error de implementación de la función heartbeat de OpenSSL, por lo que fue así, Heartbleed, como se denominó a este agujero cuyo riesgo radica en que se puede explotar –como se ha visto– para comprometer los datos y las comunicaciones de los usuarios de sitios web, correo electrónico, aplicaciones de mensajería instantánea o redes virtuales privadas.

Al poco tiempo de que se descubriera este fallo de seguridad los responsables de OpenSSL Software Foundation establecieron un parche para evitarlo y, desde entonces, han incrementado sus recursos para hacer más robusto OpenSSL, ante el elevado uso que se hace de éste en los sistemas operativos informáticos, el correo electrónico, las aplicaciones de mensajería instantánea y otros productos de software con el fin de proteger los datos más sensibles.

 

 

 

 

 

 

Sobre el autor de este artículo

Esther Macías

Periodista especializada en tecnología, innovación, economía digital y emprendimiento. Tras un largo paso por iWorld y ComputerWorld, desde 2013 estoy inmersa en la prodigiosa aventura de TICbeat como jefa de redacción.