Tecnología

Vulnerabilidad informática existe desde hace dos años, pero se descubrió el lunes

Heartbleed obliga a cambio de contraseñas, pero sepa cuándo

Actualizado el 11 de abril de 2014 a las 12:00 am

Antes de modificar pasaportes, lugares web deben estar ya inmunizados a error, gran mayoría de bancos locales no lo están

Herramientas en línea permiten fácil confirmación de sitios sin exposición a falla

Tecnología

Heartbleed obliga a cambio de contraseñas, pero sepa cuándo

Rellene los campos para enviar el contenido por correo electrónico.

This picture loads on non-supporting browsers.
La vulnerabilidad que representa Heartbleed es una amenaza seria a la seguridad en Internet que tiene el potencial de exponer información privada de los usuarios; incluidas sus contraseñas, datos financieros y mensajes instantáneos, entre otros datos (fotografía con fines ilustrativos). / EYLEEN VARGAS.

Heartbleed es una falla de seguridad en un programa muy utilizado en Internet para resguardar datos sensibles como, por ejemplo, todas sus contraseñas digitales.

Descubierta el lunes anterior, se le considera una falla en extremo grave, pues pudo permitir a piratas informáticos recuperar en la memoria de los servidores de sitios en línea datos brindados por los usuarios durante sesiones de conexión consideradas seguras, alertan expertos de la compañía de seguridad Fox-IT.

Es de tal proporción la alerta, que miles de miles de sitios ya aplican (o aplicaron) un parche de programación que corrige el problema vigente desde hace dos años cuando salió una versión de OpenSSL.

El logotipo utilizado para identificar la vulnerabilidad HeartBleed
ampliar
El logotipo utilizado para identificar la vulnerabilidad HeartBleed (Heartbleed.com para LN)

La mayoría del software que usa OpenSSL abarca servidores web basados en código de programación abierto como Apache y Nginx. La cuota combinada de ambos en sitios activos de Internet supera el 66%, confirma una encuesta de Netcraft Web Server de este mes.

Heartbleed no es un virus ni un ataque, aclaran. Este parece más un accidente en el código de programación del OpenSSL. El programa que permite conexiones confiables en esos sitios cuya dirección inicia con las letras “https” (la s es de “seguro”).

Esto incluye sitios como eBay, Facebook, bancos, amazon.com y un “etcétera” casi infinito.

La mayoría del software que usa OpenSSL abarca servidores web basados en código de programación abierto como Apache y Nginx. La cuota combinada de ambos en sitios activos de Internet supera el 66%, confirma una encuesta de Netcraft Web Server de este mes.

La buena noticia es que, al parecer, la vulnerabilidad la detectaron primero expertos en seguridad de Google y la firma Codenomicon . La mala es que nadie está seguro de si esta abertura fue efectivamente explotada por algún hacker .

Por lo tanto, es ineludible variar sus contraseñas, pero solo después de que los sitios que más frecuenta ya se hayan inmunizado contra Heartbleed. Sería un ejercicio sin sentido modificar las contraseñas si el sitio permanece expuesto.

Para cuando lea esto, esta previsión ya la tomaron empresas como Google, redes sociales y tiendas; sin embargo, otras plataformas menos desarrolladas podrían seguir comprometidas. Ahí entra usted.

Cómo proceder. Primero confirme la seguridad de sus páginas. La compañía de seguridad informática LastPass creó una herramienta para escribir la dirección electrónica de cualquier sitio web y revisar si está expuesto a Heartbleed. También el programador Filippo Valsorda creó un instrumento igual.

PUBLICIDAD

Si el sitio consultado sale limpio, ahí es cuando debe cambiar su contraseña de acceso en esa dirección. También puede revisar el listado del sitio github.com, donde se registran 1.000 páginas populares y su estado en términos de “no vulnerable”, “vulnerable” o “sin SSL”.

De los 1.000 nombres, solo 48 permanecían vulnerables ayer en la tarde. Esto es solo 4,8% del total.

La compañía Codenomicom creó el sitio http://heartbleed.com/ donde se detalla información técnica y se aclaran dudas comunes.

(*) Bancos de Costa Rica sin afectación. Christian Sánchez, ingeniero de computación de la compañía Fair Play Labs, hizo una revisión de bancos nacionales frente al tema de HeartBleed y descubrió que muchos nunca estuvieron expuestos a ellos por utilizar otra forma de software para asegurar las conexiones. Por lo tanto, es inecesario cambiar las claves de acceso a estos por razón de esta falla. 

Varios de estos bancos usan software como IBM WebSphere/Java, ASP.net, IIS/ASP o OracleAS/Forms, aclaró Sánchez.

Los bancos que nunca se vieron expuestos a Heartbleed (al no utilizar Open SSl) son Bac San José, Banco Cathay, Davivienda, Banco Nacional, Promerica, Lafise, Banco de Costa Rica, Banco Popular y Bancrédito.

(*) Esta información fue ampliada a las 9:55 a.m. de hoy con la información relativa a los bancos costarricenses. 

  • Comparta este artículo
Tecnología

Heartbleed obliga a cambio de contraseñas, pero sepa cuándo

Rellene los campos para enviar el contenido por correo electrónico.

Juan Fernando Lara S.

jlara@nacion.com

Periodista

Redactor en la sección Sociedad y Servicios. Periodista graduado en la Universidad de Costa Rica. Ganó el premio Redactor del año de La Nación (2012). Escribe sobre servicios públicos, tarifas y telecomunicaciones.

Ver comentarios
Regresar a la nota