Se sepa más o menos sobre seguridad informática, a estas alturas la mayoría tiene claro que es algo cada vez más importante, y que cuando un número considerable de expertos en la materia ponen la voz en grito sobre algo, es que hay que preocuparse. Pues justo esto acaba de ocurrir en las últimas horas, en concreto a causa de un bug serio recién detectado en OpenSSL, una de las bibliotecas de criptografía más utilizadas de la World Wide Web.
Metiéndonos en material, el fallo de seguridad ha sido descubierto por un grupo de investigadores que trabajan en Google y en la empresa de software de seguridad Codenomicon el cual han bautizado con el nombre de Heartbleed. Afinando un poco más, el mismo nace de un error de implementación de la función heartbeat de OpenSSL (de ahí el nombre) y la gravedad radica en que estamos ante un bug de primer nivel, o sea que se puede explotar, en este caso para comprometer los datos y las comunicaciones de los usuarios de sitios web, correo electrónico, aplicaciones de mensajería instantánea o redes virtuales privadas.
Tan peligroso es el asunto que los mentados investigadores han lanzado una página dedicada por entero a desgranar el bug y a responder preguntas relacionadas con él. Por ejemplo en ella explican que la vulnerabilidad en el popular OpenSSL permite que cualquier atacante pueda leer la memoria de los sistemas protegidos por las versiones vulnerables de la biblioteca -desde la 1.0.1 hasta la 1.0.1f incluida- y como consecuencia de eso extraer las claves secretas utilizadas para identificar a los proveedores legítimos de servicios y cifrar el tráfico, los nombres y contraseñas de los usuarios y demás.
“¿Y qué significa lo expuesto a efectos prácticos?” os estaréis preguntando. Pues entre otras cosas a nivel de usuario que si alguien ataca algún servicio/aplicación web o cualquier otra cosa que proteja la información sensible con alguna de las versiones vulnerables de OpenSSL explotando el bug que nos ocupa, podrá “capturar” y desencriptar desde nombres de usuario hasta contraseñas pasando por tarjetas de crédito o conversaciones. O también hacerse pasar por un sitio legítimo sin que el navegador web lo detecte y engañar al usuario (por ejemplo si la banca online de X entidad usara OpenSSL y un tercero robara sus llaves, ese tercero podría montar una web-clon de la banca que haría llegar a los usuarios y si alguno accediera, el navegador lo detectaría como el auténtico).
Por desgracia los usuarios nada podemos hacer para protegernos, todo está en manos de los administradores de sistemas. Esperemos que la mayoría ya estén instalando la última versión de OpenSSL lanzada ayer mismo en la que se ha corregido el error, y si eres uno de ellos y aún no lo ha hecho, por el bien de todos deberías instalarla lo antes posible.
[…] Descubierto un grave fallo de seguridad en OpenSSL – 1 día ago […]
[…] la mayoría de la comunidad techie, la plataforma de microblogging Tumblr se ha hecho eco del fallo de seguridad Heartbleed, que afecta al protocolo HTTPS y, por tanto, a los usuarios de webs, correo electrónico y aplicaciones móviles, y ha pedido a su […]
[…] Descubierto un grave fallo de seguridad en OpenSSL – 8 abril, 2014 […]
[…] Heartbleed se ha caído un mito: el de la seguridad de la biblioteca OpenSSL. Después de que un grupo de investigadores de Google y Codenomicon descubrieran que una de las […]
[…] cuentas y las contraseñas de Twitter están a salvo deHeartbleed. El bug o fallo de seguridad que habría expuesto durante dos años toda la información que en […]
[…] Heartbleed, la vulnerabilidad detectada en cierta versión del protocolo OpenSSL, que, hasta ahora, garantizaba una navegación más segura por un nutrido grupo de páginas web, continúa dando sustos, y el último cuenta con una víctima de renombre: la web de la Agencia Tributaria de Canadá. […]
[…] la perfección no existe y siempre se darán casos como el del gravísimo fallo de seguridad descubierto recientemente en OpenSSL, que paradójicamente es una de las bibliotecas de criptografía más utilizadas de la actualidad […]
[…] semana desde que un grupo de investigadores de Google y Codenomicon alertaron de la existencia de Heartbleed, una vulnerabilidad en el popular protocolo OpenSSL, y todavía no existe un parche específico […]
[…] fue descubierto a principios de abril por investigadores de Google y de la firma de seguridad Codenomicon, y levantó ampollas entre la […]
[…] fue descubierto a principios de abril por investigadores de Google y de la firma de seguridad Codenomicon, y levantó ampollas entre la […]
[…] un contexto de alarma por el reciente descubrimiento del fallo de seguridad Heartbleed, que habría expuesto, durante los últimos dos años, datos que muchos internautas y corporaciones […]
[…] parecer que Heartbleed no nos asusta tanto como pensábamos: apenas un mes después de que cundiera el pánico por el […]
[…] pero no con el fin de cometer crímenes, sino de solventar los errores de seguridad (como Heartbleed), y que por ello se necesitan “muchos hackers” si se pretende que la sociedad esté volcada en […]
[…] relacionadas con la investigación de este ataque le han revelado que los hackers utilizaron el fallo de seguridad Heartbleed, que conmocionó a Internet el pasado mes de abril, para robar los datos (nombres, números de teléfono, direcciones y números de la seguridad […]