Heartbleed es una falla de seguridad en un programa muy utilizado en Internet para resguardar datos sensibles como, por ejemplo, todas sus contraseñas digitales.
Descubierta el lunes anterior, se le considera una falla en extremo grave, pues pudo permitir a piratas informáticos recuperar en la memoria de los servidores de sitios en línea datos brindados por los usuarios durante sesiones de conexión consideradas seguras, alertan expertos de la compañía de seguridad Fox-IT.
Es de tal proporción la alerta, que miles de miles de sitios ya aplican (o aplicaron) un parche de programación que corrige el problema vigente desde hace dos años cuando salió una versión de OpenSSL.
Heartbleed no es un virus ni un ataque, aclaran. Este parece más un accidente en el código de programación del OpenSSL. El programa que permite conexiones confiables en esos sitios cuya dirección inicia con las letras “https” (la s es de “seguro”).
Esto incluye sitios como eBay, Facebook, bancos, amazon.com y un “etcétera” casi infinito.
La mayoría del software que usa OpenSSL abarca servidores web basados en código de programación abierto como Apache y Nginx. La cuota combinada de ambos en sitios activos de Internet supera el 66%, confirma una encuesta de Netcraft Web Server de este mes.
La buena noticia es que, al parecer, la vulnerabilidad la detectaron primero expertos en seguridad de Google y la firma Codenomicon . La mala es que nadie está seguro de si esta abertura fue efectivamente explotada por algún hacker .
Por lo tanto, es ineludible variar sus contraseñas, pero solo después de que los sitios que más frecuenta ya se hayan inmunizado contra Heartbleed. Sería un ejercicio sin sentido modificar las contraseñas si el sitio permanece expuesto.
Para cuando lea esto, esta previsión ya la tomaron empresas como Google, redes sociales y tiendas; sin embargo, otras plataformas menos desarrolladas podrían seguir comprometidas. Ahí entra usted.
Cómo proceder. Primero confirme la seguridad de sus páginas. La compañía de seguridad informática LastPass creó una herramienta para escribir la dirección electrónica de cualquier sitio web y revisar si está expuesto a Heartbleed. También el programador Filippo Valsorda creó un instrumento igual.
Si el sitio consultado sale limpio, ahí es cuando debe cambiar su contraseña de acceso en esa dirección. También puede revisar el listado del sitio github.com, donde se registran 1.000 páginas populares y su estado en términos de “no vulnerable”, “vulnerable” o “sin SSL”.
De los 1.000 nombres, solo 48 permanecían vulnerables ayer en la tarde. Esto es solo 4,8% del total.
La compañía Codenomicom creó el sitio http://heartbleed.com/ donde se detalla información técnica y se aclaran dudas comunes.
(*) Bancos de Costa Rica sin afectación. Christian Sánchez, ingeniero de computación de la compañía Fair Play Labs, hizo una revisión de bancos nacionales frente al tema de HeartBleed y descubrió que muchos nunca estuvieron expuestos a ellos por utilizar otra forma de software para asegurar las conexiones. Por lo tanto, es inecesario cambiar las claves de acceso a estos por razón de esta falla.
Varios de estos bancos usan software como IBM WebSphere/Java, ASP.net, IIS/ASP o OracleAS/Forms, aclaró Sánchez.
Los bancos que nunca se vieron expuestos a Heartbleed (al no utilizar Open SSl) son Bac San José, Banco Cathay, Davivienda, Banco Nacional, Promerica, Lafise, Banco de Costa Rica, Banco Popular y Bancrédito.
(*) Esta información fue ampliada a las 9:55 a.m. de hoy con la información relativa a los bancos costarricenses.