Internet sufre el mayor varapalo de su historia que pone en peligro los datos confidenciales y privados de TODOS LOS INTERNAUTAS al dejar al descubierto información sensible de diversos servidores en la Red.
Los fallos de seguridad, normalmente, se sufrían de forma aislada. Bien en páginas web, servidores o empresas, todos ellos con servicios presentes en Internet y que sufrían cualquier tipo de vulnerabilidad.
En esta ocasión, el corazón de Internet, adolece de una peligrosa enfermedad que pone a disposición de “ciberdelincuentes” la información cifrada y que es albergada en los servidores. Esta enfermedad (“bug o agujero de seguridad) es conocida con el nombre de “HEARTBLEED”.
A nadie le sorprende, a estas alturas, la aparición de agujeros de seguridad (Bugs) en los distintos servicios de Internet. Desgraciadamente son demasiado frecuentes y por ello se convierten en “ciberminas” de oro para los “ciberdelincuentes”, que aprovechan estas vulnerabilidades para sacar buen provecho económico. Algunos de estos fallos no son conocidos (0Days o vulnerabilidad del día 0), y son “explotados” por los malos hasta que los afectados “tapan el agujero” con un parche que corrige la vulnerabilidad.
Estos “fallos” graves de seguridad pueden poner en peligro los datos relativos a contraseñas, datos personales, confidenciales y privados de los usuarios del servicio afectado. Pero en esta ocasión la gravedad es extrema, no es un servicio el que se ve afectado.
¿QUÉ ES HEARTBLEED?
Según José A. GUASCH, editor del Blog Security By Default y uno de los organizadores de la conferencia de seguridad informática RootedCon, en un artículo reciente en el blog de seguridad afirma que nos encontramos ante una de las vulnerabilidades más graves de los últimos años. (leer artículo completo «Desangrando el corazón de OppenSSL»)
Heartbleed es mucho más que un agujero de seguridad en un servicio aislado, es un grave fallo de seguridad que convierte en vulnerable cualquier información protegida mediante los métodos de cifrado que se utilizan habitualmente en gran parte de Internet para no hacer visibles nuestros datos confidenciales (OpenSSL), como son nuestras credenciales bancarias, usuario y contraseñas en redes sociales y servicios de correo electrónico, acceso a plataformas online (telefonía, seguridad social, servidores empresas, …) y así un larguísimo etc.
OpenSSL es un conjunto de herramientas que permiten ocultar, mediante cifrado («encriptado» ¡miau! 😉 ), la información que estamos compartiendo desde nuestro navegador hacía cualquier servicio de Internet (banco, red social, correo electrónico web, etc.). Este protocolo es el utilizado por dos tercios de las comunicaciones, hasta ahora denominadas seguras, en Internet. Las reconoceréis porque en la barra de direcciones nos aparece un candado o las siglas “HTTPS” que preceden a las direcciones web; ambos símbolos eran la “señal” que accedíamos a un sitio seguro y cifrado (banca online por ejemplo). Ver entrada “Seguridad Básica en la Red (IV): Navegando con “S” de Seguridad”.
Lógicamente, los servicios y plataformas que se vieron afectados por “Heartbleed” y por lo tanto han sido vulnerables a ataques tras el “infarto” sufrido por el corazón de seguridad y privacidad en Internet, han reparado, en la medida de lo posible el agujero de seguridad. Pero mientras duró, la “enfermedad cardíaca” de la Red, todos esos datos personales han estado expuestos a los ojos de cualquier “avispado ciberdelincuente”. Hay que tener en cuenta que el agujero se hizo público a primeros de abril de 2014, pero la vulnerabilidad data, parece ser, desde el año 2011, demasiado tiempo sin hacerse pública, ¿no? (raro, raro, raro…)
¿HEARTBLEED PUEDE REALMENTE HABER VULNERADO MI PRIVACIDAD O DATOS PERSONALES?
Esta entrada tiene como protagonistas dos “palabros” muy raros que, posiblemente como simples internautas no técnicos, jamás hayamos escuchado o leído. Heartbleed y OpenSSL y que hemos intentado traducir en el artículo.
Posiblemente, dada la complejidad de los términos, nos haga pensar que lo sucedido sea algo que queda muy lejos de la realidad, de nuestra realidad y caigamos en la fatídica creencia de… “esto no va conmigo”, y practiquemos la conocida como «técnica de la avestruz» escondiendo la cabeza ante el problema.
.
Solo tenemos que pensar que si somos usuarios de Banca electrónica, Google, correo electrónico, plataformas de compras, o cualquier otro servicio que utilice el hasta ahora protocolo seguro de cifrado de nuestro tráfico web, podemos haber tenido nuestras credenciales comprometidas, puesto que el agujero de seguridad ha afectado a millones de servidores en todo el mundo, de entre los cuales no se excluyen los más importantes y por consiguiente más utilizados por cualquier internauta.
Podéis comprobar si los servicios que utilizáis normalmente se vieron comprometidos por el fallo de seguridad ocasionado por Heartbleed consultando:
http://filippo.io/Heartbleed/
También os recomiendo mirar el listado que aparece en Mashable, con algunos de los servicios en Internet más utilizados con información sobre si ha sido afectado o no, y si es necesario cambiar las contraseñas
Mashable
A MI ESTO NO ME AFECTA ¡TENGO UN BUEN ANTIVIRUS!
Lamentablemente si eres de los que piensas que tienes EL MEJOR ANTIVIRUS DEL CIBERMUNDO y cualquier otra solución antivirus más instalada en tu dispositivo, y que por ello estas exento de sufrir las consecuencias de «Heartbleed» decirte que estás totalmente equivocado, y que podrías verte en serios problemas.
El agujero de seguridad HEARTBLEED NO ES UN VIRUS O CUALQUIER TIPO DE MALWARE, es una vulnerabilidad que afecta al código de OpenSSL, es decir, afecta a un programa utilizado por algunos servidores web en lo relativo a las comunicaciones confidenciales y seguras. Por lo ningún antivirus podría detectar la vulnerabilidad y además nosotros, los usuarios, no somos esta vez los responsables del problema, ya que aunque hayamos extremado nuestras medidas de seguridad podríamos vernos afectados igualmente.
Los ciberdelincuentes, aprovechándose del error de ese programa, podrían haber tenido acceso a la información que, a priori, debía ser inaccesible para todo el mundo al estar cifrada por el programa afectado.
Como ejemplo el ataque sufrido en la Agencia Tributaría canadiense debido a la vulnerabilidad «Heartbleed», mediante la que ciberdelincuentes obtuvieron información confidencial de al menos 900 canadienses, relativa a números de la Seguridad Social así como datos de los negocios de los titulares.
¿QUÉ PODEMOS HACER ANTE ESTA VULNERABILIDAD? Y ¿COMO PODEMOS PREVENIR PROBLEMAS?
Sencillo…
DEBEMOS cambiar todos nuestros certificados digitales, credenciales de acceso y contraseñas a cualquier tipo de servicio.
Y para ello podemos utilizar los consejos de la entrada “LAS CONTRASEÑAS: Nuestras llaves en la Red”
Heartbleed, según explican los expertos al diario Washingtonpost, causará fallos en Internet en las próximas semanas, parece ser que hay más «leña que la que arde» y es imposible hacer una verdadera estimación de la problemática, que en un principio implicaba simplemente cambios de contraseñas, pero parece ser que detrás de la vulnerabilidad puede haber algo mucho más grave.
Lo que está claro es que, el mayor fallo de seguridad que ha sufrido Internet, puede ser utilizado por los ciberdelincuentes para lanzar campañas para obtener nuestras credenciales. Por ello debemos desconfiar de webs o mensajes que nos indiquen procesos para la recuperación o cambio de contraseñas
Si queréis conocer un poquito más sobre “HeartBleed”, además de visitar las fuentes de esta entrada os recomiendo escuchar la explicación que nos da Fernando de la Cuadra (Director de Educación de ESET ESPAÑA) en una entrevista concedida a cope.es
ESCUCHAR ENTREVISTA
Esta vez no se cumple la frase con la que se terminan todas las entradas de este Blog, pero tal vez sea la excepción que confirma la regla, porque en Internet, casi siempre…
Nosotros somos nuestra mayor vulnerabilidad, pero también somos nuestro mejor antivirus
¿QUIERES COLABORAR CON EL BLOG?
PUEDES VALORARLO Y VOTARLO EN LOS PREMIOS Y RANKINGS EN LOS QUE PARTICIPA
PULSANDO LOS LOGOS
Nos vemos en la Red
X1Red+Segura
FUENTES: bitelia.com , blogs.protegerse.com (ESET) , tecno.americaeconomia.com, washingtonpost.com , Security by Default
Muy bien explicado, como siempre, Ángel. Gracias
Pingback: Bitacoras.com