Heartbleed, el mayor ‘agujero negro’ de la historia de Internet, para ‘dummies’

Otra vez la seguridad y la privacidad de los ciudadanos está en jaque, después de que varias empresas expertas hayan descubierto que un fallo de software ha hecho, ya desde el año 2012, que al menos dos tercios de las páginas web del mundo pudieran ser totalmente accesibles a los hackers y, con ello, la información de los usuarios.

El fallo, que se ha denominado Heartbleed, ha presentado muchos interrogantes, tanto entre empresas y gobiernos como entre los usuarios y es que, realmente, presenta un grave problema. de hecho hay teorías que sostienen que este fallo pudo venir de alguna gran organización gubernamental, como la Agencia de Seguridad estadounidense, cuya fiabilidad está en tela de juicio, después de que se descubriera el pasado año 2013 que, gracias a grandes empersas del sector TIC, tenía acceso a informaciones privadas de los ciudadanos.

¿Y qué es lo que ahora puedo hacer como usuario para mantener la privacidad de mis informaciones, en la medida de lo posible? Y ¿si tengo una empresa con página web, donde los clientes introducen información, cómo puedo saber si esta se ha visto afectada?

Para ayudarte a comprender mejor el problema que supone para la privacidad la existencia de Heartbleed y darte a conocer qué hacer, tanto si eres usuario como a nivel empresarial, ChannelBiz te ha hecho este resumen con preguntas y respuestas:

¿Qué es HeartBleed?

Se trata, según las personas que han descubierto el problema, de una grave vulnerabilidad en el popular OpenSSL, una tecnología que usan casi todas las páginas web del mundo. Esta debilidad permite robar la información que ha sido protegida bajo condiciones normales.

Entonces ¿qué información queda expuesta?

El error Heartbleed compromete las claves secretas, los nombres y las contraseñas de los usuarios y el contenido real: puede ser datos personales o financieros, comunicaciones privadas , tales como correos electrónicos o mensajes instantáneos , documentos o fotografías adjuntas en correos o guardados en la nube. Sólo los propietarios de los servicios serán capaces de estimar la probabilidad de lo que se ha filtrado y deben notificar a sus usuarios en consecuencia.

Esto permite a los atacantes espiar las comunicaciones y robar los datos directamente de los servicios y de los usuarios, lo que podría servir a un hacker para suplantar a los usuarios.

¿Qué páginas se conoce, hasta el momento, que hayan sido afectadas y cuáles no?

Facebook, Netflix, WordPress y Twitter no saben aún y recomiendan cambiar la contraseña, por si las moscas. Las que sí han admitido ya que se han visto afectadas son: Instagram, Pinterest, Tumblr, Google, Gmail. Yahoo!, Yahoo Mail , Etsy, GoDaddy, DropBox, Box, Minecraft y SoundCloud.

Entre las que admiten que no se han visto afectadas están Linkedin, Apple, Amazon, AOL, Microsoft, Hotmail / Outlook, eBay, Nordstrom, Groupon, PayPal, Target, Walmart y Evernote. 

¿Debo comenzar ya a cambiar las contraseñas?

Sólo cuando la página web afectada anuncie que ya ha reparado el error. Si se cambian antes de que los servicios hayan solucionado el fallo, estas seguirían estando expuestas. Por ejemplo, los usuarios de los servicios de Google ya pueden cambiar la contraseña y cuanto antes, para no seguir expuestos.

¿Debería preocuparme por mi cuenta bancaria?

Dicen los expertos que la mayoría de los bancos no utilizan el OpenSSL, sino que suelen usar software de encriptación propietario. De todos modos, sino está seguro, es mejor ponerse en contacto con su banco directametne para saber si el sitio web es seguro o no.  Además de mantener una estrecha vigilancia sobre los movimientos de la cuenta, por si acaso.

¿Cómo detener la fuga de datos?

Por ahora poco se puede hacer. Con los datos que ya hayan sido robados, no podemos hacer nada. Sin embargo, hay estar atentos a las novedades. Cuando una empresa anuncie que ya ha reparado el fallo, prescindienco de la versión vulnerable de OpenSSL, entonces será momento de cambiar la contraseña. Los proveedores de servicios y los usuarios tendrán que instalar la revisión que lance OpeSSL en cuanto esté disponible para los sistemas operativos, aplicaciones en red y software que utilicen.

Soy propietario de una página web ¿Qué hay que hacer en ese caso?

Si su web utiliza OpenSSL, debes actualizar este sistema lo antes posible a una nueva versión más segura. Si tienes una empresa y los clientes introducen su información privada en esta para realizar compras, consultas u otras actividades, avise a sus clientes y socios, después de actualizar el sistema OpenSSL, para que cambien las contraseñas para acceder a la web.

Constantemente, se conoce de la existencia de nuevos virus ¿Por qué Heartbleed llama más la atención?

Este error ha dejado gran cantidad de claves privadas y otros secretos expuestos a Internet desde el año 2012. “Teniendo en cuenta el tiempo de exposición, la facilidad de explotación y los ataques que se llevan realizando durante dos años sin dejar rastro, es para tomárselo en serio”, dice el equipo que descubrió la vulnerabilidad. 

¿Quién descubrió el error?

La empresa de seguridad Codenomicon y un grupop de ingenieros de Google, encontraron el error de forma independiente el uno del otro, pero en el mismo día.

¿Cómo se producen los ataques Heartbleed?

Lo primero de todo, que llama la atención de este ataque, es que Heartbleed no deja rastro por lo que es difícil conocer su origen. Parece ser que cuando entramos en una de las páginas web infectadas, como usuarios, “nos estamos atacando a nosotros mismos”.

Un ingeniero que colaboró en la actualización de OpenSSL que presenta el fallo, reconoce que una confusión suya llevó a que el 66% de las páginas web del mundo (las que usan esa mencionada versión) estén abiertas para la incursión de hackers. Sin embargo, por ahora, no hay evidencia de que ningún pirata informático se haya aprovechado de este agujero de seguridad, precisamente porque, como decíamos, no deja ningún rastro.

¿Es cierto que la Agencia Nacional de Seguridad de Estados Unidos está tras el ataque?

Teniendo en cuenta que desde hace un año se sabe que la NSA de Estados Unidos ha tenido más acceso a la información privada de los usuarios y también de los gobiernos, de lo que estos se pudieron imaginar, muchos han acusado a este organismo de la creación del Heartbleed. Sin embargo, la Agencia Nacional de Seguridad de Estados Unidos lo niega.

Fue un informático alemán que trabajó en OpenSSL, pero que ha querido mantener su identidad en secreto, quien reconoció que fue un error de él mismo, pero de forma ‘indeseada’, por no haber revisado la actualización del software de forma correcta.