La vulnerabilidad “Heartbleed” puede poner en peligro tu seguridad en miles de páginas web

10 Abr 2014

ACTUALIZACIÓN: En una versión anterior de este artículo, utilizando un listado de Github, dijimos que los usuarios de la página web HideMyAss fueron afectados por la vulnerabilidad Heartbleed. Un representante de esta página web ha desmentido esta noticia; en consecuencia, hemos quitado la página web del listado de los sitios afectados.

ACTUALIZACIÓN Nº2: Este artículo ha sido actualizado con la lista de los servicios afectados que recomiendan el cambio de las contraseñas.

Sabes que una vulnerabilidad de seguridad es grave cuando un programa tan importante como Morning Edition de la estación de radio estadounidense NPR comienza su sesión de las 8 de la mañana hablando de ella. Tal fue el caso esta mañana, con la noticia de un grave defecto de cifrado – apodado Heartbleed – en OpenSSL, que es quizás la biblioteca de cifrado más utilizada en Internet. Si estás un poco confundido acerca de lo que significa todo esto, no te preocupes, voy a tratar de explicar toda la historia en las próximas 500 palabras, más o menos.

Cuando se establece una conexión cifrada a un sitio web, ya sea Google, Facebook o la sucursal online de tu banco, los datos se encriptan mediante el protocolo SSL/TLS. Muchos servidores web populares utilizan la biblioteca OpenSSL de código abierto para esto. A principios de esta semana, los operadores de OpenSSL publicaron un parche para un bug grave detectado en la implementación de la función TLS, llamado “Heartbleed”, que podría revelar hasta 64 kB de memoria del servidor a un cibercriminal.

En otras palabras, el error podría haber permitido a cualquiera en Internet leer la memoria de una máquina que está protegida por una versión vulnerable de la biblioteca. En el peor de los casos, este pequeño trozo de memoria puede contener algo sensible – nombres de usuarios, contraseñas o incluso la llave privada usada por el servidor para mantener tu conexión cifrada. Además, explotar Heartbleed no deja rastros, así que no hay manera definitiva para saber si un servidor ha sido hackeado y qué tipo de datos han sido robados.

Pero también hay noticias buenas: OpenSSL arregló el bug. La noticia mala: no hay manera de garantizar que las páginas y los servicios afectados por Heartbleed están implementando el parche que lo mitiga. Y otra mala noticia: parece ser que el bug es bastante fácil de explotar y puede que haya existido por 2 años. Esto significa que los certificados de seguridad de muchas páginas web populares pueden haber sido robados, así como también muchos datos sensibles, incluyendo contraseñas.

El plan de acción para los usuarios

Actualización: Mashable ha hecho una lista  de los servicios web que se han oficialmente declarado afectados por la vulnerabilidad. Para no perder demasiado tiempo en leer y controlar los certificados, aconsejamos cambiar la contraseña para los siguientes servicios: Facebook, Instagram, Pinterest, Tumblr, Yahoo, AWS, Box, Dropbox, Github, IFFT, Minecraft, OKCupid, SoundCloud, Wunderlist. ¡Es fundamental utilizar una contraseña diferente para cada página web!

  • Comprueba si tu página favorita era vulnerable. Hay herramientas online para comprobar la presencia de la vulnerabilidad, pero también tienes que saber si ésta ha estado presente antes. Por suerte, hay una lista larga de páginas web populares que ha sido comprobada frente a la vulnerabilidad.  La noticia buena: Facebook y Google no están afectados. La noticia mala: Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, 500px y muchos más se vieron afectadas por la vulnerabilidad. Prepárate para actuar si tienes una cuenta en una de esas páginas vulnerables;
  • Comprueba si tu página favorita es vulnerable en este momento. Hay una herramienta simple para eso;
  • Cuando los propietarios de las páginas hayan arreglado el bug, también tienen que volver a publicar certificados de las páginas. Así que prepárate para contralar los certificados de los servidores y asegurar que estás usando los nuevos (publicados el 8 de abril o después). Para hacer esto, habilita la comprobación de revocación de certificados en tu navegador. Aquí hay un ejemplo de las configuraciones de Google Chrome:
  • Esto prevendrá que tu navegador use certificados viejos. Para comprobar la fecha de publicación del certificado manualmente, haz clic sobre el candado verde en la barra de direcciones y haz clic en “información” de la pestaña de “Conexión”:
  •  El paso más importante – cuando el servidor esté arreglado y el certificado esté actualizado, es cambiar tu contraseña inmediatamente. Usa esta oportunidad para revisar tu política de contraseñas y empieza a usar contraseñas fuertes, pero fáciles de recordar. Además puedes comprobar si tu nueva contraseña es buena usando nuestro Password Checker.