Heartbleed, la vulnerabilidad detectada en cierta versión del protocolo OpenSSL, que, hasta ahora, garantizaba una navegación más segura por un nutrido grupo de páginas web, continúa dando sustos, y el último cuenta con una víctima de renombre: la web de la Agencia Tributaria de Canadá.
La Hacienda canadiense ha notificado, en declaraciones recogidas por BBC News, que la información de alrededor de 900 contribuyentes fue eliminada de su base de datos, y advierte de que podría haber más datos afectados. La información borrada se refiere, en su mayoría y de momento, a los números de la seguridad social de 900 ciudadanos.
El organismo canadiense ha tenido noticia del ataque a través de la agencia de seguridad del gobierno de su país, y debido, también, a que cierto volumen de datos ha sido eliminado masivamente, dejando así una evidencia del ataque. En caso de que éste no se hubiera producido de forma tan obvia –si se hubiera tratado, por ejemplo, de un acceso ilícito a datos personales para copiarlos-, probablemente, no habría llegado a ser detectado.
Precisamente, una de las características de Heartbleed que más alarma han generado entre los usuarios y webmasters tiene que ver con que resulta muy difícil, sino casi imposible, certificar, en caso de que nuestra web haya quedado expuesta por culpa de este fallo, si los hackers han aprovechado dicha brecha para robar información sensible, puesto que el bug no deja ningún tipo de rastro al ser explotado.
Las medidas de seguridad no han servido
En cuanto tuvo noticia de la existencia de Heartbleed, la Hacienda canadiense interrumpió, el pasado 8 de abril, sus servicios online, y trabajó contrarreloj para crear un parche capaz de reparar la brecha de seguridad abierta en su plataforma. Fue, precisamente, una de las primeras grandes organizaciones en hacerse eco de la existencia de este bug y aplicar medidas de seguridad. Sin embargo, no le ha servido de mucho, y se sospecha que el ataque malicioso tuvo lugar justo después de la reapertura de sus servicios, ayer mismo.
Por ello, el organismo tributario canadiense se está andando con pies de plomo a la hora de reparar este nuevo ataque, y ha decidido, por ejemplo, prescindir de los hasta ahora habituales correos electrónicos que invitan a los usuarios a resetear sus contraseñas.
Algo que sí ha hecho la célebre comunidad de padres británica Mumsnet, que, con sus más de un millón y medio de usuarios registrados, también se ha visto afectada por Heartbleed, y ha enviado una campaña de correo a sus suscriptores con un enlace que les invita a restablecer su clave de seguridad. Las autoridades internacionales y los expertos de seguridad han insistido en que nadie responda a correos no solicitados de este tipo, ya que otro de los peligros de Heartbleed consiste en que los hackers pueden crear webs con apariencia segura para así robar la información de los internautas.
Por lo tanto, la Agencia Tributaria de Canadá ha optado por ponerse en contacto con los usuarios afectados a través de un método mucho más lento y tradicional pero, probablemente, más seguro: el correo postal certificado.
Foto cc: Openclipart
[…] el mundo se sigue estremeciendo ante la virulencia de Heartbleed, la compañía ESET ha informado de la existencia de una campaña, conocida ya como Windigo, que […]
[…] el mundo se sigue estremeciendo ante la virulencia de Heartbleed, la compañía ESET ha informado de la existencia de una campaña, conocida ya como Windigo, que […]
[…] Esta semana unos de los grandes grupos hospitalarios estadounidenses, Community Health Systems, que gestiona 206 centros en 29 estados, reconocía haber sufrido el robo de más de 4,5 millones de datos de pacientes entre abril y junio. Un experto de seguridad, David Kennedy, responsable de la empresa TrustedSec, ha indicado a Bloomberg que personas relacionadas con la investigación de este ataque le han revelado que los hackers utilizaron el fallo de seguridad Heartbleed, que conmocionó a Internet el pasado mes de abril, para robar los datos (nombres, números de teléfono, direcciones y números de la seguridad social, ya que no se han captado cuentas bancarias). Si esto se confirmara –desde CHS no han dicho nada al respecto– esta sería la mayor brecha de seguridad producida relacionada con el citado fallo de seguridad, que con anterioridad ha sido usado en la Hacienda canadiense y en la red social para padres de origen británico Mumsnet. […]