{"id":3203,"date":"2014-04-18T16:00:38","date_gmt":"2014-04-18T16:00:38","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=3203"},"modified":"2020-02-26T17:22:27","modified_gmt":"2020-02-26T15:22:27","slug":"aun-hablando-sobre-heartbleed","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/aun-hablando-sobre-heartbleed\/3203\/","title":{"rendered":"Las noticias de la semana: a\u00fan hablando sobre Heartbleed"},"content":{"rendered":"

Al igual que la semana pasada<\/a>, la saga de Heartbleed sigue dominando los titulares de las noticias de seguridad. Probablemente podr\u00eda pasarme todo el resumen de esta semana hablando sobre Heartbleed, pero no lo har\u00e9, pues creo que tambi\u00e9n te gustar\u00eda saber algo sobre una fuga de datos de un a\u00f1o de duraci\u00f3n que afecta a los productores de una marca popular (y de moda) de discos duros port\u00e1tiles, una decisi\u00f3n extra\u00f1a de Microsoft que podr\u00eda impactar sobre tu capacidad para instalar actualizaciones de seguridad,\u00a0 una posible iniciativa de un cierto gigante de los buscadores que podr\u00eda aumentar la optimizaci\u00f3n de b\u00fasqueda para las p\u00e1ginas web que hagan una buena decisi\u00f3n de seguridad, y echarle una mirada a c\u00f3mo el final del soporte para XP ha afectado Internet.<\/p>\n

Heartbleed<\/b><\/p>\n

Como ya he dicho, la saga de Heartbleed contin\u00faa. En caso de que no hayas prestado atenci\u00f3n a ninguna fuente de informaci\u00f3n en las \u00faltimas dos semanas m\u00e1s o menos, Heartbleed es un error de cifrado que podr\u00eda haber permitido a cualquier persona en Internet leer la memoria de un aparato que est\u00e9 protegido por un servicio de implementaci\u00f3n de cifrado llamado OpenSSL. En casos graves, este peque\u00f1o trozo de memoria podr\u00eda contener datos sensibles como nombres de usuarios, contrase\u00f1as o incluso llaves de cifrado privadas. No hay suficiente tiempo para volver a explicar esta situaci\u00f3n por completo en este breve resumen de noticias, pero si est\u00e1s un poco perdido, puedes leer este tutorial sobre Heartbleed<\/a> y este an\u00e1lisis m\u00e1s extenso que explica por qu\u00e9 Heartbleed es un gran problema<\/a>. Si ya est\u00e1s familiarizado con lo que est\u00e1 pasando aqu\u00ed, sigue leyendo.<\/p>\n

A lo largo del fin de semana, Heartbleed se intensific\u00f3<\/a>, pasando de ser un bug grave y pasando de ser una vulnerabilidad de seguridad hipot\u00e9tica a ser un bug que es activamente aprovechado en ataques reales y con v\u00edctimas reales. Una p\u00e1gina web para padres en el Reino Unido \u2013 llamado Mumsnet \u2013 fue atacada por hackers que se aprovecharon de Heartbleed. Estos atacantes se hicieron con las contrase\u00f1as y seg\u00fan informes las usaron para publicar mensajes en esa p\u00e1gina. M\u00e1s alarmante, otros cibercriminales tambi\u00e9n aprovecharon Heartbleed y lograron comprometer algunos sistemas bajo el control de la Agencia de Ingresos de Canad\u00e1 (Canadian Revenue Agency). Durante un per\u00edodo de seis horas, antes de que la CRA pudiera actualizar sus sistemas con la versi\u00f3n parcheada de OpenSSL, los cibercriminales robaron los n\u00fameros de seguridad social de 900 ciudadanos.<\/p>\n

El bug de OpenSSL, Heartbleed, que pone en peligro contrase\u00f1as, comunicaciones y claves de encriptaci\u00f3n, sigue siendo protagonista de las portadas de todo el mundo<\/div>\n

Incluso alrededor de un 20% de los servidores o \u201cnodos de salida\u201d en la red de anonimizaci\u00f3n Tor resultaron ser vulnerables<\/a>, seg\u00fan la investigaci\u00f3n que examin\u00f3 muestras aleatorias de nodos de Tor, realizada por Collin Mulliner de la Northeastern University de Boston al final de la semana pasada. Tor ha empezado a bloquear estos nodos vulnerables.<\/p>\n

A pesar de estos ataques, las pruebas de concepto que demuestran que el robo de certificados era, de hecho, posible, y un amplio conocimiento sobre la necesidad de sustituir certificados que est\u00e9n potencialmente en peligro, no parece ser urgente en absoluto\u00a0revocar y reemplazar los certificados<\/a>. En pocas palabras, estos certificados garantizan que una p\u00e1gina web es la p\u00e1gina que t\u00fa crees que es. Estos certificados son a la base de la confianza en Internet. Es cierto, ha habido una explosi\u00f3n de revocaciones y sustituciones de certificados<\/a> desde la comprensi\u00f3n de Heartbleed, pero esta explosi\u00f3n no es ni remotamente proporcional al alcance del bug.<\/p>\n

La fuga de LaCie <\/b><\/p>\n

Seg\u00fan mi compa\u00f1ero (y co-anfitr\u00edon del podcast mensual de noticias<\/a>) Chris Brook, la empresa francesa de hardware inform\u00e1tico LaCie, quiz\u00e1s mejor conocida por sus discos duros port\u00e1tiles coloridos, comunic\u00f3 esta semana que fue v\u00edctima de una fuga de datos<\/a> que puede haber puesto en peligro la informaci\u00f3n confidencial de cualquier persona que haya comprado un producto en su p\u00e1gina web durante el a\u00f1o pasado. La compa\u00f1\u00eda dice que un cibercriminal comprometi\u00f3 sus sistemas online con una pieza de malware y luego utiliz\u00f3 ese acceso para robar nombres de clientes, direcciones, direcciones de correo electr\u00f3nico, as\u00ed como informaci\u00f3n de tarjetas de pago y las fechas de caducidad de las tarjetas. Por lo tanto, si has comprado algo directamente desde la tienda online de LaCie en el \u00faltimo a\u00f1o m\u00e1s o menos, tu informaci\u00f3n puede haber sido expuesta, aunque probablemente ya hayas sido informado por la empresa si es el caso.<\/p>\n

Una decisi\u00f3n extra\u00f1a por Microsoft y otra potencialmente genial por Google<\/b><\/p>\n

Con una decisi\u00f3n que me dej\u00f3 confundido (aunque estoy seguro de que probablemente hay una buena raz\u00f3n para ella), Microsoft anunci\u00f3 recientemente que dejar\u00eda de proporcionar actualizaciones de seguridad para los usuarios que ejecutan versiones no actualizadas de Windows 8.1. En otras palabras, para recibir futuras actualizaciones de seguridad, los clientes tendr\u00e1n que tener sus ordenadores actualizados con el update m\u00e1s reciente de Windows 8.1<\/a>, que la compa\u00f1\u00eda public\u00f3 en abril.<\/p>\n

Habl\u00e9 con un portavoz de Microsoft, pero esa persona no me dio muchas explicaciones mucho sobre por qu\u00e9 se tom\u00f3 la decisi\u00f3n. La buena noticia \u2013 como este portavoz de Microsoft se asegur\u00f3 de indicar \u2013 es que este aviso s\u00f3lo afecta a un peque\u00f1o porcentaje de los usuarios que no tienen la funci\u00f3n de actualizaci\u00f3n autom\u00e1tica habilitada. Para ser claros, sin duda recomendamos activar la auto-actualizaci\u00f3n, y creo que est\u00e1 activada de forma predeterminada para la mayor\u00eda de los sistemas Windows comerciales. Si est\u00e1s en actualizaci\u00f3n autom\u00e1tica, entonces no tienes nada de qu\u00e9 preocuparte. Si instalas las actualizaciones de forma manual, entonces tendr\u00e1s que instalar la actualizaci\u00f3n de Windows 8.1 de abril o no ser\u00e1s capaz de instalar los parches mensuales de aqu\u00ed en adelante. Es tu elecci\u00f3n, pero parece una decisi\u00f3n obvia para m\u00ed.<\/p>\n

Por otro lado, hay rumores acerca de que el gigante de los buscadores, Google, pudiera a\u00f1adir un poco de matem\u00e1ticas a su algoritmo de b\u00fasqueda m\u00e1gica (al menos creo que es as\u00ed como funciona) que mejorar\u00e1 los resultados de b\u00fasqueda para las p\u00e1ginas web que implementen cifrado. El Wall Street Journal<\/a> public\u00f3 esta noticia basada en algo que el gur\u00fa del \u00a0algoritmo de b\u00fasqueda de la empresa, Matt Cutts, dijo en una conferencia. Google no neg\u00f3 rotundamente estas afirmaciones, pero s\u00ed dijo que la compa\u00f1\u00eda no ten\u00eda nada que anunciar en ese momento. Es dif\u00edcil saber si Google est\u00e1 de verdad reflexionando sobre esto, pero sin duda parece ser una buena idea.<\/p>\n

\u00bfLlegar\u00e1 el XPocalipsis?<\/b><\/p>\n

Hablando de cosas que Microsoft ya no apoyar\u00e1 m\u00e1s, la empresa oficialmente y al fin public\u00f3 los \u00faltimos parches para Windows XP el mes pasado.\u00a0 Se ha hablado mucho durante los \u00faltimos a\u00f1os acerca de cu\u00e1l ser\u00eda el impacto de abandonar el apoyo de seguridad para un sistema operativo que sigue siendo usado por el 28% de los usuarios de ordenadores. Es demasiado pronto para decir cu\u00e1l ser\u00e1 ese impacto, pero probablemente deber\u00edas dejar XP si a\u00fan lo est\u00e1s usando. Pienso que estar\u00edamos hablando mucho m\u00e1s sobre esto si Heartbleed no hubiera aparecido, y apuesto que hablaremos m\u00e1s sobre ello en un futuro. Aqu\u00ed hay una buena explicaci\u00f3n sobre lo que el final de XP quiz\u00e1s signifique para el futuro<\/a>.<\/p>\n

Noticias sobre m\u00f3viles<\/b><\/p>\n

Por \u00faltimo, pero ciertamente no menos importante, un nuevo informe de nuestros amigos investigadores de Kaspersky Lab demuestra que el negocio est\u00e1 en auge para los que usan el malware para robar informaci\u00f3n bancaria de los usuarios Android. Para terminar otro d\u00eda, otro hackeo que compromete uno de esos sofisticados esc\u00e1neres de huellas dactilares digitales<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

El bug de OpenSSL Heartbleed que podr\u00eda exponer contrase\u00f1as, comunicaciones y llaves de cifrado sigue dominando los titulares en la industria de la seguridad.<\/p>\n","protected":false},"author":42,"featured_media":3204,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,6],"tags":[740,739,741,738,632],"class_list":{"0":"post-3203","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-fuga-de-datos-de-lacie","10":"tag-heatbleed","11":"tag-malware-android","12":"tag-openssl","13":"tag-windows-xp"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/aun-hablando-sobre-heartbleed\/3203\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/fuga-de-datos-de-lacie\/","name":"fuga de datos de Lacie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/3203","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=3203"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/3203\/revisions"}],"predecessor-version":[{"id":21558,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/3203\/revisions\/21558"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/3204"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=3203"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=3203"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=3203"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}