Fue descubierta recientemente una nueva y crítica vulnerabilidad en la famosa librería de cifrado OpenSSL. La han llamado HeartBleed. Siga leyendo para conocer cómo proteger su información
El País.- Si bien hace unos días el tema que acaparaba el foco de atención en el mundo de la seguridad era el fin del soporte extendido de Windows XP, tan sólo veinticuatro horas después ha salido a la luz una nueva noticia que ha revolucionado la red, y que ha sido recogida ya tanto en todos los blogs técnicos especializados como en los medios de comunicación: la nueva y crítica vulnerabilidad que ha sido descubierta recientemente en la famosa librería de cifrado OpenSSL: HeartBleed.
Lo primero que llama la atención de todos aquellos que leen la noticia, es sin duda el nombre, que se traduce en español como «corazón sangrante». Este viene dado porque la vulnerabilidad se encuentra en la implementación que OpenSSL, hace de un proceso denominado «HeartBeat,» porque se asimila al latido del corazón, ya que se utiliza para mantener activa periódicamente una sesión de comunicación SSL que se ha establecido entre dos partes después del habitual saludo conocido como «Handshake».
La vulnerabilidad fue descubierta conjuntamente por un equipo de ingenieros de Google y de la empresa Codemicom. Afecta a todas las versiones de OpenSSL comprendidas entre la versión 1.0.1 hasta 1.0.1f, y el problema viene dado porque a partir de un defecto en la implementación de este «Hearbeat», un atacante podría recuperar a base de pequeños fragmentos, contenidos privados de la memoria de aplicaciones que estén haciendo uso de la librería afectada.
Esto se agrava aún más, porque esta librería es ampliamente utilizada precisamente en servidores web expuestos a Internet, que de hecho proveen a los usuarios de una capa de cifrado, mediante protocolos considerados seguros como HTTPS. Para entenderlo un poco mejor, a partir de este ‘bug’, un atacante malicioso podría acceder a todos los datos privados alojados en estos servidores, entre los que se podrían encontrar contraseñas de servicios, credenciales de usuarios, código fuente de aplicaciones web, y hasta las claves privadas de los certificados digitales de los servidores, con lo que la seguridad aportada por protocolos como HTTPS, SSH o servicios de VPN sería totalmente nula.
Es por esto que se ha sembrado el caos en Internet, pues el bug lleva presente en las implementaciones de OpenSSL desde el año 2012, y se desconoce si alguien lo ha podido estar explotando durante todo este tiempo, además de manera silenciosa, pues el ataque a través de los heartbeat no deja ningún rastro en los servidores web. Para colmo, la facilidad con la que puede explotarse es espeluznante, ya que no requiere de ningunas condiciones específicas, con lo que llevar a cabo el ataque carece de complejidad alguna. Por ello, es imposible establecer el alcance de la información comprometida, que en el peor de los casos podría comprender cantidades ingentes de información privada de millones de usuarios en la red, pues los propios servidores de Google, Amazon o Yahoo han sido vulnerables durante este tiempo.
De los aproximadamente 5 millones de servidores que se encuentran conectados a Internet utilizando OpenSSL, sólo una parte de ellos, en concreto alrededor de 600.000 son vulnerables. Afortunadamente, la vulnerabilidad se ha publicado conjuntamente con el parche que la soluciona, y en el transcurso de horas, la mayoría de estos servidores vulnerables han podido corregir el error y restablecer la seguridad de sus servicios. De hecho, los ingenieros de Google que conocían el problema antes que el resto por haberlo descubierto, llevan actualizando sus servidores desde diciembre del pasado año.
Desde la perspectiva de usuario, es imposible saber qué cantidad de nuestra información sensible puede haber caído en manos ajenas, al comprobar que los servidores de los principales proveedores tecnológicos han estado afectados también por esta vulnerabilidad, y probablemente han sido los primeros en el punto de mira de posibles atacantes.
Es por esto, que la recomendación que podemos dar en INTECO para todos los usuarios, es que dediquen tiempo y esfuerzos en modificar todas las contraseñas de los servicios que utilizan en la red, así como estén pendientes de las actualizaciones que aparezcan tanto en sus aplicaciones de escritorio como en los dispositivos móviles, pues no sólo los servidores, sino también algunos clientes como los navegadores utilizan OpenSSL y pueden ser vulnerables.
Del mismo modo, aquellas aplicaciones móviles que utilicen la capa de cifrado SSL para comunicarse con los servidores en su implementación, seguramente publicarán actualizaciones, pues éstos habrán renovado su certificado digital. Es por esto queademás de modificar nuestras credenciales de acceso en los servicios que utilicemos en Internet, debemos estar más pendiente que nunca de todas estas actualizaciones de seguridad, de cara a poder volver a navegar de manera confiable por la red.