Las noticias de la semana: aún hablando sobre Heartbleed

El bug de OpenSSL Heartbleed que podría exponer contraseñas, comunicaciones y llaves de cifrado sigue dominando los titulares en la industria de la seguridad.

Noticias semana

Al igual que la semana pasada, la saga de Heartbleed sigue dominando los titulares de las noticias de seguridad. Probablemente podría pasarme todo el resumen de esta semana hablando sobre Heartbleed, pero no lo haré, pues creo que también te gustaría saber algo sobre una fuga de datos de un año de duración que afecta a los productores de una marca popular (y de moda) de discos duros portátiles, una decisión extraña de Microsoft que podría impactar sobre tu capacidad para instalar actualizaciones de seguridad,  una posible iniciativa de un cierto gigante de los buscadores que podría aumentar la optimización de búsqueda para las páginas web que hagan una buena decisión de seguridad, y echarle una mirada a cómo el final del soporte para XP ha afectado Internet.

Heartbleed

Como ya he dicho, la saga de Heartbleed continúa. En caso de que no hayas prestado atención a ninguna fuente de información en las últimas dos semanas más o menos, Heartbleed es un error de cifrado que podría haber permitido a cualquier persona en Internet leer la memoria de un aparato que esté protegido por un servicio de implementación de cifrado llamado OpenSSL. En casos graves, este pequeño trozo de memoria podría contener datos sensibles como nombres de usuarios, contraseñas o incluso llaves de cifrado privadas. No hay suficiente tiempo para volver a explicar esta situación por completo en este breve resumen de noticias, pero si estás un poco perdido, puedes leer este tutorial sobre Heartbleed y este análisis más extenso que explica por qué Heartbleed es un gran problema. Si ya estás familiarizado con lo que está pasando aquí, sigue leyendo.

A lo largo del fin de semana, Heartbleed se intensificó, pasando de ser un bug grave y pasando de ser una vulnerabilidad de seguridad hipotética a ser un bug que es activamente aprovechado en ataques reales y con víctimas reales. Una página web para padres en el Reino Unido – llamado Mumsnet – fue atacada por hackers que se aprovecharon de Heartbleed. Estos atacantes se hicieron con las contraseñas y según informes las usaron para publicar mensajes en esa página. Más alarmante, otros cibercriminales también aprovecharon Heartbleed y lograron comprometer algunos sistemas bajo el control de la Agencia de Ingresos de Canadá (Canadian Revenue Agency). Durante un período de seis horas, antes de que la CRA pudiera actualizar sus sistemas con la versión parcheada de OpenSSL, los cibercriminales robaron los números de seguridad social de 900 ciudadanos.

El bug de OpenSSL, Heartbleed, que pone en peligro contraseñas, comunicaciones y claves de encriptación, sigue siendo protagonista de las portadas de todo el mundo

Incluso alrededor de un 20% de los servidores o “nodos de salida” en la red de anonimización Tor resultaron ser vulnerables, según la investigación que examinó muestras aleatorias de nodos de Tor, realizada por Collin Mulliner de la Northeastern University de Boston al final de la semana pasada. Tor ha empezado a bloquear estos nodos vulnerables.

A pesar de estos ataques, las pruebas de concepto que demuestran que el robo de certificados era, de hecho, posible, y un amplio conocimiento sobre la necesidad de sustituir certificados que estén potencialmente en peligro, no parece ser urgente en absoluto revocar y reemplazar los certificados. En pocas palabras, estos certificados garantizan que una página web es la página que tú crees que es. Estos certificados son a la base de la confianza en Internet. Es cierto, ha habido una explosión de revocaciones y sustituciones de certificados desde la comprensión de Heartbleed, pero esta explosión no es ni remotamente proporcional al alcance del bug.

La fuga de LaCie

Según mi compañero (y co-anfitríon del podcast mensual de noticias) Chris Brook, la empresa francesa de hardware informático LaCie, quizás mejor conocida por sus discos duros portátiles coloridos, comunicó esta semana que fue víctima de una fuga de datos que puede haber puesto en peligro la información confidencial de cualquier persona que haya comprado un producto en su página web durante el año pasado. La compañía dice que un cibercriminal comprometió sus sistemas online con una pieza de malware y luego utilizó ese acceso para robar nombres de clientes, direcciones, direcciones de correo electrónico, así como información de tarjetas de pago y las fechas de caducidad de las tarjetas. Por lo tanto, si has comprado algo directamente desde la tienda online de LaCie en el último año más o menos, tu información puede haber sido expuesta, aunque probablemente ya hayas sido informado por la empresa si es el caso.

Una decisión extraña por Microsoft y otra potencialmente genial por Google

Con una decisión que me dejó confundido (aunque estoy seguro de que probablemente hay una buena razón para ella), Microsoft anunció recientemente que dejaría de proporcionar actualizaciones de seguridad para los usuarios que ejecutan versiones no actualizadas de Windows 8.1. En otras palabras, para recibir futuras actualizaciones de seguridad, los clientes tendrán que tener sus ordenadores actualizados con el update más reciente de Windows 8.1, que la compañía publicó en abril.

Hablé con un portavoz de Microsoft, pero esa persona no me dio muchas explicaciones mucho sobre por qué se tomó la decisión. La buena noticia – como este portavoz de Microsoft se aseguró de indicar – es que este aviso sólo afecta a un pequeño porcentaje de los usuarios que no tienen la función de actualización automática habilitada. Para ser claros, sin duda recomendamos activar la auto-actualización, y creo que está activada de forma predeterminada para la mayoría de los sistemas Windows comerciales. Si estás en actualización automática, entonces no tienes nada de qué preocuparte. Si instalas las actualizaciones de forma manual, entonces tendrás que instalar la actualización de Windows 8.1 de abril o no serás capaz de instalar los parches mensuales de aquí en adelante. Es tu elección, pero parece una decisión obvia para mí.

Por otro lado, hay rumores acerca de que el gigante de los buscadores, Google, pudiera añadir un poco de matemáticas a su algoritmo de búsqueda mágica (al menos creo que es así como funciona) que mejorará los resultados de búsqueda para las páginas web que implementen cifrado. El Wall Street Journal publicó esta noticia basada en algo que el gurú del  algoritmo de búsqueda de la empresa, Matt Cutts, dijo en una conferencia. Google no negó rotundamente estas afirmaciones, pero sí dijo que la compañía no tenía nada que anunciar en ese momento. Es difícil saber si Google está de verdad reflexionando sobre esto, pero sin duda parece ser una buena idea.

¿Llegará el XPocalipsis?

Hablando de cosas que Microsoft ya no apoyará más, la empresa oficialmente y al fin publicó los últimos parches para Windows XP el mes pasado.  Se ha hablado mucho durante los últimos años acerca de cuál sería el impacto de abandonar el apoyo de seguridad para un sistema operativo que sigue siendo usado por el 28% de los usuarios de ordenadores. Es demasiado pronto para decir cuál será ese impacto, pero probablemente deberías dejar XP si aún lo estás usando. Pienso que estaríamos hablando mucho más sobre esto si Heartbleed no hubiera aparecido, y apuesto que hablaremos más sobre ello en un futuro. Aquí hay una buena explicación sobre lo que el final de XP quizás signifique para el futuro.

Noticias sobre móviles

Por último, pero ciertamente no menos importante, un nuevo informe de nuestros amigos investigadores de Kaspersky Lab demuestra que el negocio está en auge para los que usan el malware para robar información bancaria de los usuarios Android. Para terminar otro día, otro hackeo que compromete uno de esos sofisticados escáneres de huellas dactilares digitales.

Consejos
Suscríbete para recibir nuevas publicaciones en tu buzón
  • Para el resto de países