{"id":3104,"date":"2014-04-10T14:59:25","date_gmt":"2014-04-10T14:59:25","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=3104"},"modified":"2020-02-26T17:22:19","modified_gmt":"2020-02-26T15:22:19","slug":"vulnerabilidad-heartbleed","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/vulnerabilidad-heartbleed\/3104\/","title":{"rendered":"La vulnerabilidad “Heartbleed” puede poner en peligro tu seguridad en miles de p\u00e1ginas web"},"content":{"rendered":"

ACTUALIZACI\u00d3N:<\/strong> En una versi\u00f3n anterior de este art\u00edculo, utilizando un listado de Github, dijimos que los usuarios de la p\u00e1gina web HideMyAss fueron afectados por la vulnerabilidad Heartbleed. Un representante de esta p\u00e1gina web ha desmentido esta noticia; en consecuencia, hemos quitado la p\u00e1gina web del listado de los sitios afectados<\/em>.<\/p>\n

ACTUALIZACI\u00d3N N\u00ba2: <\/strong>Este art\u00edculo ha sido actualizado con la lista de los servicios afectados<\/a> que recomiendan el cambio de las contrase\u00f1as.<\/em><\/p>\n

Sabes que una vulnerabilidad de seguridad es grave cuando un programa tan importante como Morning Edition de la estaci\u00f3n de radio estadounidense NPR comienza su sesi\u00f3n de las 8 de la ma\u00f1ana hablando de ella. Tal fue el caso esta ma\u00f1ana, con la noticia de un grave defecto de cifrado \u2013 apodado Heartbleed \u2013 en OpenSSL, que es quiz\u00e1s la biblioteca de cifrado m\u00e1s utilizada en Internet. Si est\u00e1s un poco confundido acerca de lo que significa todo esto, no te preocupes, voy a tratar de explicar toda la historia en las pr\u00f3ximas 500 palabras, m\u00e1s o menos.<\/p>\n

\"\"<\/p>\n

Cuando se establece una conexi\u00f3n cifrada<\/a> a un sitio web, ya sea Google, Facebook o la sucursal online de tu banco, los datos se encriptan mediante el protocolo SSL\/TLS. Muchos servidores web populares utilizan la biblioteca OpenSSL de c\u00f3digo abierto para esto. A principios de esta semana, los operadores de OpenSSL publicaron un parche para un bug grave<\/a>\u00a0detectado en la implementaci\u00f3n de la funci\u00f3n TLS, llamado \u201cHeartbleed\u201d, que podr\u00eda revelar hasta 64 kB de memoria del servidor a un cibercriminal.<\/p>\n

En otras palabras, el error podr\u00eda haber permitido a cualquiera en Internet leer la memoria de una m\u00e1quina que est\u00e1 protegida por una versi\u00f3n vulnerable de la biblioteca. En el peor de los casos, este peque\u00f1o trozo de memoria puede contener algo sensible \u2013 nombres de usuarios, contrase\u00f1as o incluso la llave privada usada por el servidor para mantener tu conexi\u00f3n cifrada. Adem\u00e1s, explotar Heartbleed no deja rastros, as\u00ed que no hay manera definitiva para saber si un servidor ha sido hackeado y qu\u00e9 tipo de datos han sido robados.<\/p>\n

Pero tambi\u00e9n hay noticias buenas: OpenSSL arregl\u00f3 el bug. La noticia mala: no hay manera de garantizar que las p\u00e1ginas y los servicios afectados por Heartbleed est\u00e1n implementando el parche que lo mitiga. Y otra mala noticia: parece ser que el bug es bastante f\u00e1cil de explotar y puede que haya existido por 2 a\u00f1os. Esto significa que los certificados de seguridad de muchas p\u00e1ginas web populares pueden haber sido robados, as\u00ed como tambi\u00e9n muchos datos sensibles, incluyendo contrase\u00f1as.<\/p>\n

El plan de acci\u00f3n para los usuarios<\/b><\/p>\n

Actualizaci\u00f3n:\u00a0<\/b>Mashable ha hecho una lista<\/a>\u00a0 de los servicios web que se han oficialmente declarado afectados por la vulnerabilidad. Para no perder demasiado tiempo en leer y controlar los certificados, aconsejamos cambiar la contrase\u00f1a<\/strong> para los siguientes servicios:\u00a0Facebook, Instagram, Pinterest, Tumblr, Yahoo, AWS, Box, Dropbox, Github, IFFT, Minecraft, OKCupid, SoundCloud, Wunderlist. \u00a1Es fundamental utilizar una contrase\u00f1a diferente<\/strong> para cada p\u00e1gina web!<\/p>\n