¿Qué puede hacer el usuario ante el grave agujero de seguridad que afecta a dos tercios de Internet?
10/04/2014
Los expertos en seguridad advierten de que poco pueden hacer los usuarios de Internet para protegerse del gravísimo agujero de seguridad bautizado como 'The Heartbleed Bug' (el agujero del corazón desangrado) y que afecta a casi todo lo que viaja cifrado en Internet: Por lo menos hasta que las webs vulnerables a él no actualicen su software, verificar que los servicios que utilizas no son vulnerables o cambiar las contraseñas.

Fuente:  http://www.elmundo.es

OpenSSL hizo público el lunes un comunicado que metafóricamente paró el corazón a muchos administradores de sistemas: avisaba de un grave fallo en las versiones 1.0.1 y 1.0.1f de OpenSSL, un paquete de herramientas y bibliotecas que utilizan dos terceras partes de los servidores de Internet, para cifrar sus comunicaciones y contenidos.

"El problema es grave", aseguró este lunes Kurt Baumgartner, investigador del fabricante de software de seguridad Kaspersky Lab. "Ahora es el momento de comprobar la vulnebaridad y de actualizar. Todo el mundo lo está haciendo", añadió.

El agujero está en el código de OpenSSL desde diciembre de 2011. Neel Mehta, del equipo de seguridad de Google, lo habría descubierto en diciembre de 2013, fecha de la inclusión del "bug" en la base de datos 'Common Vulnerabilities and Exposures'.

Accesos seguros a webs para comprar o hacer gestiones con la administración, contraseñas y números de tarjeta de crédito almacenados en grandes y pequeños negocios de la red, correo electrónico y mensajería en línea con conexiones securizadas, "cookies" que almacenen información confidencial, redes privadas virtuales, en definitiva todo lo que viaja cifrado.

OpenSSL se utiliza en los servidores que hospedan sitios web , pero no a los ordenadores o dispositivos móviles , por lo que a pesar de que el agujero expone contraseñas y otros datos incluidos en dichos dispositivos , se debe proceder a la salvaguarda de los operadores de sitios web.

"No hay nada que los usuarios puedan hacer paraproteger sus computadoras ", dijo Mikko Hypponen , jefe de investigación del fabricante de software de seguridad F -Secure .

Mientras, representantes de Facebook, Google y Yahoo confirmaron a Reuters que han tomado medidas para mitigar el impacto en los usuarios.

La portavoz de Google, Dorothy Chou, aseguró que la compañía "h corregido este error y por los usuarios de Google no es necesario que cambien sus contraseñas". Google Chrome y Chrome OS no han sido afectados, por lo que los servicios del buscador, Gmail, Youtube, Wallet y Google Play no tienen ningún riesgo de seguridad. Por su parte, Ty Rogers, portavoz de Amazon, dijo que "Amazon no se vió afectada".

Mientras tanto, Steve Marqués , presidente de la Fundación OpenSSL, dijo que no podía identificar otros programas informáticos que utilizan el código OpenSSLque podrían hacer que los vulnerables a otros dispositivos.

Bruce Schneier , un conocido criptógrafo y director de tecnología de CO3 Systems , pidió a las empresas de Internet que emitieran nuevos certificados y claves para cifrar el tráfico de Internet , lo que haría que las contraseñas robadas fueran inútiles Algo que llevaría mucho tiempo y que las empresas no están por asumir.

Marcos Maxey , director de la firma de ciberseguridad Accuvant, explicó que no es una tarea fácil para las grandes organizaciones poner en práctica las múltiples medidas existentes para limpiar el error, lo que significa que se necesita algo más que mucho tiempo para hacerlo.

Hypponen, de F -Secure, aseguró que los usuarios de computadoras podrían cambiar inmediatamente las contraseñas de sus cuentas, pero tendrían que volver a hacerlo si sus operadores les informan de que son vulnerables. "Cuida las contraseñas que son más importantes, y si está preocupado por sus tarjetas de crédito, revise sus cuentas más de cerca".