México (11 de abril).- El lunes por la tarde circularon en Internet los detalles de uno de los problemas de seguridad más graves que hayan afectado a la web moderna. La vulnerabilidad, denominada Heartbleed, ha obligado a las principales compañías a parchar sus sistemas y podría haber sido aprovechada para extraer datos de millones de usuarios. El bug o falla informática ha actuado durante más de dos años, y no deja ningún rastro de actividad sospechosa. Algunas estimaciones sugieren que dos tercios de la web han estado en riesgo desde 2011.

Heartbleed afecta al software de criptografía OpenSSL, una de las tecnologías clave que se utilizan para cifrar los datos en línea. Permite a los atacantes recuperar información confidencial (como nombres de usuario, contraseñas y datos de tarjetas de crédito) de los servidores que lo ejecutan. Aun cuando OpenSSL no es utilizado por empresas como Google, Microsoft y Apple, que es una opción muy popular para un sinnúmero de empresas grandes y pequeñas.

Un hacker que aprovecha la vulnerabilidad Heartbleed puede “pescar” trozos aleatorios de datos en un servidor vulnerable. Si bien estos trozos son pequeños, el proceso se puede repetir una y otra vez, y no deja ningún rastro de haber violado la seguridad. Los paquetes recuperados por el hacker podrían incluir información de acceso o inicio de sesión, datos privados, mensajes de correo electrónico e incluso claves de cifrado. Éstas últimas son especialmente importantes, pues le permiten al hacker imitar el sitio en cuestión, sin dejar ninguna pista.

El periodista de investigación y experto en seguridad, Brian Krebs, ha escrito a fondo sobre la falla. Y dice a Fortune: “Los atacantes pueden robar las ‘llaves del reino’, por así decirlo, - las claves privadas de cifrado que usan los sitios web para cifrar y descifrar toda la comunicación con los visitantes. En lo que respecta a las vulnerabilidades de Internet a gran escala, ésta es la más peligrosa. Aunque quizás hay menos de medio millón de sitios que son vulnerables en este momento, muchos de los sitios vulnerables tienen millones o incluso cientos de millones de usuarios”.

Krebs destaca algunas listas y herramientas en línea que pueden usarse para comprobar si un sitio está expuesto a Heartbleed. Portales de renombre como Yahoo, Flickr, OkCupid, Zoho, 500px, Imgur e incluso el FBI fueron detectados como vulnerables cuando la noticia se divulgó. Muchos sitios ya han aplicado los parches de seguridad, Yahoo dice que desde el miércoles liberó una actualización para la mayoría de sus sitios. Los servidores de correo electrónico y las comunicaciones de mensajería instantánea también están en riesgo.

Para cualquier empresa que tiene presencia en la web y utiliza OpenSSL, esto significa una ronda urgente de actualización y parches, o comunicarse de forma apremiante con la empresa proveedora de alojamiento web. La última versión de OpenSSL soluciona la grieta aprovechada por Heartbleed, pero también se requiere un proceso largo y complejo para renovar los certificados de seguridad y restablecer las claves de cifrado. Incluso cuando la falla haya sido erradicada, no hay forma de saber cuántos datos se perdieron en el ínterin, y las secuelas podrían hacerse sentir en los años venideros.

“A muchos usuarios de Internet probablemente se les pida al menos una vez esta semana que cambien sus contraseñas en varios sitios”, dice Krebs. “Los administradores de sitios web afectados tienen que reemplazar las claves privadas y los certificados para sus instalaciones OpenSSL después de parchar el error. Y dado que la falla no parece dejar huella, muchas organizaciones tal vez quieran asegurarse y también recomendarán a los usuarios cambiar sus contraseñas”.

En lo tocante a los usuarios, no hay más remedio que esperar y evitar los sitios afectados hasta que hayan aplicado la actualización. Restablecer las contraseñas ayudará a protegerse contra esta filtración de información, pero sólo después de que los sitios en cuestión se hayan actualizado. El sentido común - vigilar de cerca las tarjetas de crédito y estar pendientes de cualquier actividad sospechosa en línea - es la mejor medida para protegerse.

“La gente a menudo bromea diciendo ‘Oh, tal vez deberíamos mantenernos alejados de Internet’ en respuesta a ciertas amenazas, pero en este caso no me parece una idea descabellada”, opina Krebs. “Si por alguna razón inicias sesión en un sitio que es vulnerable, hay una probabilidad nada desdeñable de que algún atacante robe tus datos… el problema es que para el usuario final no es evidente cuáles sitios son seguros y cuáles son aún vulnerables”.

La grieta o bug fue descubierta por los programadores que trabajan para Google y Codenomicon, quienes publicaron una página de información y bautizaron la vulnerabilidad como “Heartbleed” (algo así como corazón sangrante), ya que se aprovecha de una extensión de OpenSSL llamada Heartbeat (latido del corazón). “Tu sitio social, el sitio de tu compañía, el sitio de comercio electrónico, el sitio de tus pasatiempos, el sitio desde donde instalas software o incluso los sitios administrados por el Gobierno pueden estar utilizando OpenSSL vulnerable”, advierte el anuncio.

Esta semana, los administradores de TI de todo el orbe estarán trabajando febrilmente para actualizar sus sistemas, y rezando para que nadie haya aprovechado Heartbleed. ¿Lo más preocupante? Quizás nunca lleguen a saberlo.- (CNN)