El error que alerta a la web, Heartbleed

...

El bug, identificado como heartbleed, abre la puerta al robo de datos en un programa de encriptación instalado en 60% de servidores de internet

Autor

El Diario de Sonora el 13/04/2014 12:00 AM.
En General y editada el 23/04/2024 11:16 AM.

San Francisco, Ca.

El bug, identificado como heartbleed, abre la puerta al robo de datos en un programa de encriptación instalado en 60% de servidores de internet.
La confianza en Internet sufrió ayer un nuevo revés con el hallazgo de una importante falla de programación (bug) en materia de seguridad, ubicada en un programa de encriptación que es utilizado por 60 por ciento de los sitios destinados a proteger claves y otros datos como los bancarios.
El hallazgo de la llamada vulnerabilidad Heartbleed por parte de investigadores de Google y la pequeña firma de seguridad Codenomicon llevó al Departamento de Seguridad del Gobierno de Estados Unidos a alertar a las empresas a que revisaran sus servidores para comprobar si estaban usando versiones vulnerables de un software conocido como OpenSSL.
Las autoridades añadieron que ya hay actualizaciones disponibles para solucionar la vulnerabilidad de OpenSSL, que podría permitir a agresores remotos acceder a datos delicados como contraseñas y claves secretas que pueden decodificar el tráfico en su recorrido por Internet.
“Hemos probado algunos de nuestros propios servicios desde la perspectiva del agresor. Nos atacamos a nosotros mismos desde fuera, sin dejar rastro”, dijo Codenomicon en heartbleed.com, una web creada para proporcionar información sobre la amenaza.

Nunca lo sabremos
Expertos en seguridad informática advirtieron que eso significa que las víctimas no pueden establecer si se ha tenido acceso a sus datos, lo que es preocupante porque el bug existe desde hace aproximadamente dos años.
“Si un sitio web es vulnerable, yo podría ver cosas como la contraseña, la información bancaria y los datos sanitarios, que uno tiene la impresión de que ha estado mandando correctamente a su web”, dijo Michael Coates, director de seguridad de producto de Shape Security.
Chris Eng, vicepresidente de Investigación de la firma de seguridad desoftware Veracode, dijo que estima que centenares de miles de servidores web y de correo electrónico en todo el mundo tienen que ser actualizados con programas hechos específicamente para protegerlos lo antes posible, y así evitar que hackers mal intencionados se aprovechen de la vulnerabilidad ahora que se ha hecho pública.

Yahoo!, afectado
El sitio web de tecnología Ars Technica informó que el investigador de seguridad Mark Loman pudo extraer datos de servidores del correo de Yahoo! usando una herramienta gratuita.
Un portavoz de Yahoo! confirmó que el correo de la firma es vulnerable a un ataque, pero dijo que ya fue instalado un programa de los conocidos como parches de seguridad, tanto en el correo como en otros sitios principales de la firma tecnológica, como los de Búsqueda, Finanzas, Deportes, Flickr y Tumblr.
Entre las instituciones que han resultado afectadas destaca la Agencia de Ingresos de Canadá, responsable de recibir los impuestos, que sacó de circulación su sitio web como medida preventiva.
Otras versiones que circularon ayer intensamente en internet indicaban que al menos tres bancos españoles habían sido afectados por la falla, entre ellos Sabadel, Openbank y Caja 3, aunque ninguno lo confirmó.