El fallo de seguridad bautizado como Heartbleed es una vulnerabilidad de biblioteca de criptografía OpenSSL de 2014, que tuvo hasta su propio logotipo. Para los que no son muy doctos en este tema, cuando están navegando por Internet y aparece un dibujito de un candado junto a la dirección, entonces se estaba usando un sistema de encriptación, y los típicos sitios serían las pantallas de login (acceso) a cualquier servicio: email, redes sociales, mensajería instantánea o VPN (redes privadas). Como curiosidad, se llama así porque afecta a una capa de software llamada Heartbeat, que mantiene la sesión del servicio tras el intercambio de credenciales.
Lo que hace este error es que alguien pueda obtener nuestros nombres de usuario y contraseña para dichos servicios para espiar, robar datos o impersonar al usuario real. La tira XKCD da una muy buena explicación gráficadel funcionamiento. Quien desee información mas detallada, le recomiendo que lea la entrada sobre el tema del blog de Chema AlonsoLa solución a nivel de usuario, es sencilla: una vez el proveedor haya actualizado su certificado digital, se debe cambiar sus contraseñas. Durante esta semana ya hubo varios sistemas que han notificado a sus usuarios que deben cambiar las contraseñas, y en caso de duda, Lastpass actualmente tiene una página disponible para comprobar qué dominios se han visto afectados por Heartbleed, para saber quienes han actualizado el sistema para parchear el error (y en consecuencia debemos cambiar el password) y quienes aun están en ello.), o si tiene ganas de conspiranoia puede echar un rato debatiendo sobre si la NSA lo sabía (aunque ahora por supuesto, negará todo conocimiento).
La solución a nivel de usuario fue sencilla: una vez el proveedor actualizó su certificado digital, se debían cambiar sus contraseñas. Durante esta semana ya hubo varios sistemas que notificaron a sus usuarios que debían cambiar las contraseñas, siendo bastante intensa para los usuarios de servicios web.
Comments
No comments yet. Be the first to react!