Uno de los más graves agujeros de seguridad nos deja desnudos en la Red

Manuel Moreno El jueves, 10 de abril de 2014

Dos tercios de los servidores pueden estar afectados por el fallo en la encriptación de los datos / heartbleed.com

Ha llegado la hora de cambiar todas nuestras contraseñas de Internet, pero ni aún así vamos a conseguir estar totalmente protegidos en la Red. Al menos por el momento. Acaba de descubrirse uno de los más graves agujeros de seguridad online de todos los tiempos, y el principal problema es que los ciberdelincuentes podrían llevar hasta dos años apropiándose de información personal de los internautas sin que nadie se hubiera dado cuenta hasta ahora.

El fallo de seguridad demuestra lo vulnerables que somos, todavía, en la Red. Afecta tanto a las contraseñas de los distintos servicios online que utilizamos como a los números de tarjeta de crédito y otra información personal. Ha sido descubierto por una empresa de seguridad privada y, aunque el usuario poco puede hacer de momento, sí que es recomendable que cambie todas sus contraseñas.

En realidad, el agujero de seguridad, al que se ha nombrado como “The Heartbleed Bug” (en inglés, el error del corazón desangrado), afecta a todos los datos que se envían encriptados –es decir, supuestamente, de forma segura- en Internet.

La tecnología de encriptación SSL/TLS es la que se utiliza para las cuentas de correo electrónico, los sistemas de mensajería instantánea, las transacciones bancarias o las compras online y muestra el icono de un candado en nuestro navegador, que además añade la “s” a la URL que estamos consultando en Internet (https://www...). Con esto, se supone que el usuario está utilizando Internet de manera segura. O al menos eso es lo que se creía hasta ahora, pero parece ser que no es así.

Según los investigadores que han descubierto el bug, la vulnerabilidad podría estar tan extendida que dos tercios de los servidores de Internet podrían verse afectados, ya que trabajan mediante el sistema OpenSSL. La manera de actuar de Heartbleed permitiría que un pirata informático pudiera acceder a la información que se está enviando cifrada sin que los administradores de las páginas web pudieran percatarse de ello.

En la actualidad, no hay solución todavía para el problema. Expertos de seguridad de todo el mundo están trabajando por dar con una respuesta, e incluso Google, compañía que advirtió el problema en diciembre de 2013, se ha puesto manos a la obra. Cuando se de con la solución, serán los propietarios de las páginas web y de los servidores los que tendrán que actualizar una nueva versión del sistema de encriptación de datos OpenSSL, que no contenga el error, para que podamos estar completamente seguros.

Algunas empresas, como Yahoo!, Google y Facebook, ya han anunciado que han tomado medidas para que la repercusión del fallo de seguridad en sus usuarios sea la menor posible hasta que se encuentre una solución definitiva que permita emitir nuevas claves para cifrar el tráfico en Internet de manera segura.

Google, por su parte, ha señalado que el error ha sido solucionado y que los distintos productos de la compañía –Gmail, YouTube o el navegador Google Chrome- no se han visto afectados. Amazon también se ha apresurado a confirmar que no hay riesgo en sus servidores, y Yahoo! ha hecho lo mismo.

Sea como sea, como usuarios, no podemos hacer mucho, ya que aunque cambiemos las contraseñas, si los servidores que están utilizando las páginas web que visitemos están comprometidos, seguiríamos estando en peligro. Aún así, algunos expertos recomiendan aprovechar la situación para elegir nuevas passwords y ponerle más complicado a los ciberdelincuentes el hacerse con nuestros datos personales. El cambio de contraseña –y el utilizar una distinta para cada servicio online- debería ser una práctica habitual que pocos internautas realizan de forma periódica.

De todas maneras, a pesar del alcance del error de seguridad, los expertos llaman a la calma.

“Sí, es un gran problema, pero en mi opinión afirmar que el 50% o el 60% de las cuentas online han estado potencialmente comprometidas es algo exagerado. Pero es obvio que incluso si ese porcentaje es del 30% el problema es muy grave. No creemos sin embargo que esta brecha de seguridad haya sido aprovechada por cibercriminales, de otro modo habría habido casos de robo de datos inexplicables en las últimas semanas y meses y no se han producido este tipo de alerta", señalaba a cuartopoder.es el experto en seguridad de la compañía G Data, Eddy Willems.