14 de abril de 2014

Fallo de seguridad Heartbleed: ¿Qué contraseñas debes cambiar?

Instituto Europeo Campus Stellae
Área NTIC
Formación y Becas de estudio
Máster en Derecho de Internet y NTIC. Becas y prácticas en más de 70 países.
www.campus-stellae.com
info@campus-stellae.com
+0034 981522788
heartbleed
 Fotografía: Dreamstime

  • Los cambios frecuentes de contraseña siempre deben figurar en el ‘manual de buenas prácticas del internauta’, pero el fallo de seguridad que ha sufrido Internet esta semana ha ‘forzado’ a muchos a buscar nuevas claves.

Esta ha sido la semana de 'Heartbleed', el fallo de seguridad que ha puesto en jaque al 56% de las webs que usan el sistema de encriptación OpenSSL, víctima principal del bug.

Todas las páginas y plataformas que utilizan OpenSSL han sido vulnerables a posibles ciberataques, pero no significa que necesariamente hayan sido atacadas. Eso sí, es posible que algún hacker curioso haya decidido pasar el rato husmeando por la ‘rendija’ que abrió Heartbleed sin que las webs se hayan dado cuenta de que estaba espiando.

Ahora bien, las compañías fueron rápidas y, una vez detectado el problema, no tardaron en buscar posibles soluciones para recuperar la seguridad perdida. Pero el daño ya estaba hecho y quizás deberías plantearte cambiar las claves de algunas de tus cuentas de correo, redes sociales o sitios de compras habituales.

Banca virtual

ADICAE (Asociación de Usuarios de Bancos, Cajas y Seguros) señala que, al menos, los servicios virtuales de Banco Sabadell, Openbank y Caja 3 podrían encontrarse entre los afectados, pero las entidades ni lo han confirmado, ni lo han desmentido.

Desde esta agrupación critican que no se «cancelara el acceso a la banca online una vez detectado el problema». Por tanto, recomiendan que los clientes de este tipo de servicio cambien sus contraseñas para evitar posibles problemas.

Paypal

Las cuentas de Paypal no se encuentran entre las webs que han sufrido el ataque de Heartbleed y, según informan en la compañía, "permanecen seguras.

Facebook

No ha habido confirmación oficial por parte de la mayor red social del mundo sobre si ha sufrido las consecuencias de Heartbleed, pero desde la compañía aclaran que han añadido sistemas de protección después de que se conociera el incidente. "No hemos detectado ninguna actividad sospechosa, pero recomendamos a nuestros usuarios que cambien su contraseña".

Twitter

En la web de microblogging se usa el sistema OpenSSL y, por tanto, figura entre los sitios vulnerables. Eso sí, desde Twitter aclaran que no se encuentran entre los afectados pero que continuarán "vigilando y monitorizando la situación" para detectar posibles irregularidades.

LinkedIn

La red profesional ha confirmado que "no utilizan la implementación de OpenSSL afectada ni en www.linkedin.com ni en www.slideshare.net, por lo que Heartbleed no representa ningún riesgo para los usuarios de estas dos plataformas".

Google

La tecnológica ha sido una de las más afectadas por Heartbleed. "Hemos aplicado parches de seguridad a los servicios clave: Gmail, Youtube, Wallet, Play, Apps y Apps Engine se han visto afectados por este fallo de seguridad; Chrome y Chrome OS no".

En este caso, los usuarios de Android también deberían tener en cuenta este aviso ya que su cuenta de Gmail está vinculada con sus smartphones. Eso sí, Google no ha lanzado ninguna señal de alarma en este sentido.

La compañía avisa a los usuarios de que no es necesario que cambien sus contraseñas, pero "en vista de futuros fallos que pudieran producirse, mejor prevenir que curar".

Yahoo

"Tan pronto como supimos del problema, comenzamos a trabajar para solucionarlo en todos nuestros sitios web: la página de inicio (Homepage), Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food y Yahoo Tech", informaba la compañía en un comunicado.


«Las redes sociales Flickr y Tumblr también han sido provistas de estos sistemas para evitar problemas». Además, la firma sigue trabajando en nuevas medidas de seguridad para «arreglar cualquier inconveniente que pudiera presentarse". En este caso, sería recomendable cambiar las contraseñas, aunque no nos insten a ello.

Outlook y Hotmail

Ninguno de los dos servicios de correo usa el sistema OpenSSL, por lo que no es necesario que sus usuarios cambien las claves de acceso. De hecho, ninguna página vinculada a Microsoft se ha visto afectada por Heartbleed.

Ebay

La web de subastas aclara que la mayoría de sus servicios "no ha sufrido el impacto y nuestros usuarios pueden continuar comprando en nuestra plataforma de forma segura".

Amazon

El gigante de las ventas online ha dejado claro que los datos de sus usuarios siguen siendo privados y que el fallo de seguridad no les ha afectado, por lo que no es necesario que cambien sus claves.

Dropbox

Desde el Twitter oficial de la web de almacenamiento de archivos afirman que están «añadiendo parches de seguridad» a sus servicios y que continúan trabajando «para asegurar que tu cuenta y tus datos estén siempre a salvo". Aun así, al haber sido otras víctimas de Heartbleed, sería conveniente que sus usuarios buscasen nuevas contraseñas.

Fuente: Expansión.

9 de abril de 2014

Un gravísimo agujero de seguridad compromete a las dos terceras partes de Internet

Instituto Europeo Campus Stellae
Área NTIC
Formación y Becas de estudio
Máster en Derecho de Internet y NTIC. Becas y prácticas en más de 70 países.
www.campus-stellae.com
info@campus-stellae.com
+0034 981522788
 

  • Afecta a casi todo lo que viaja cifrado en Internet, como accesos seguros a webs.
  • También contraseñas y números de tarjeta de crédito, correo y mensajería en línea.

MERCÈ MOLIST Barcelona


Lo han bautizado 'The Heartbleed Bug' (el agujero del corazón desangrado) y afecta a casi todo lo que viaja cifrado en Internet: accesos seguros a webs para comprar o hacer gestiones con la administración, contraseñas y números de tarjeta de crédito almacenados en grandes y pequeños negocios de la red, correo electrónico y mensajería en línea con conexiones securizadas, "cookies" que almacenen información confidencial, redes privadas virtuales.

Todo es susceptible de ser descifrado por un hipotético atacante que, para colmo, no dejará ningún rastro en los ordenadores atacados. Es el fallo informático del año, quizás de la década, y muy posiblemente tardará en ser solucionado, pues afecta a millones de servidores.

El Proyecto OpenSSL hizo público el lunes un comunicado que metafóricamente paró el corazón a muchos administradores de sistemas: avisaba de un grave fallo en las versiones 1.0.1 y 1.0.1f de OpenSSL, un paquete de herramientas y bibliotecas que utilizan dos terceras partes de los servidores de Internet, para cifrar sus comunicaciones y contenidos.

El agujero está en el código de OpenSSL desde diciembre de 2011. Neel Mehta, del equipo de seguridad de Google, lo habría descubierto en diciembre de 2013, fecha de la inclusión del "bug" en la base de datos 'Common Vulnerabilities and Exposures'.

El consultor independiente de seguridad Jesús Cea considera lógico que se hayan tardado tres meses en anunciar al mundo el descubrimiento de Mehta, "para dar tiempo a los sistemas operativos y principales servicios afectados a crear los correspondientes parches". Efectivamente, el 7 de abril, cuando el Proyecto OpenSSL dio a conocer el agujero, los sistemas afectados ya tenían la solución a punto. También algunos grandes servicios de la red habían corregido el fallo antes de esa fecha.

El 'Heartbleed Bug' reside en una extensión del protocolo Transport Layer Security (TLS) de OpenSSL llamada 'Heartbeat' (latido de corazón). Un atacante puede interrogarla repetidamente y esta respondería mandándole las claves privadas con las que el sitio cifra su información y comunicaciones. Curiosamente, a finales de febrero se descubrió un problema parecido en el protocolo TLS de Apple, que afectaba a la validación de sus certificados. Y una semana después caía GNU TLS, otro sistema seguro para código libre.

Pero ninguno es tan usado como OpenSSL. Los expertos en seguridad no dudan en avisar de la seriedad de este agujero: "Estamos ante una de las vulnerabilidades más graves (opinión personal) de los últimos años. Y no sólo vulnerabilidad, la explotación tiene efectos que sinceramente, tras verlos, asustan", afirma José A. Guasch en el blog 'Security by Default'. Paradójicamente, el fallo se ha descubierto en un producto destinado a dar seguridad a las comunicaciones y contenidos, lo que hace más grave el problema.

"Lo hemos probado en nuestros propios servicios desde la perspectiva de un atacante. Nos hemos atacado a nosotros mismos desde el exterior sin dejar rastro. Sin tener que usar ninguna información privilegiada ni credenciales, hemos podido robarnos las claves secretas de nuestros certificados, nombres y contraseñas de nuestros usuarios, mensajería instantánea, correo electrónico y documentos y comunicaciones críticas para el negocio", afirman en la página de información oficial 'Heartbleed Bug'. Se desconoce la cantidad de sitios afectados pero Yahoo! habría estado entre ellos todo el día del martes.

La solución a este monumental lío es complicada, pues no sirve sólo instalar una nueva versión de OpenSSL sin el fallo. Al ser un ataque que no deja rastro, nadie sabe de forma fehaciente si su sitio ha sido comprometido. Aunque actualice su OpenSSL, sus claves, contraseñas y certificados pueden estar en manos de atacantes que las seguirían usando impunemente. Así que toca revocar claves, cambiar contraseñas y crear nuevos certificados. Algo que puede costar mucho tiempo y dinero, pues los certificados para comunicaciones seguras en Internet los crean unos negocios específicos llamados Autoridades de Certificación que, ante un desastre de esta magnitud, pueden decidir renovar los certificados de sus clientes gratuitamente... o no.

En la página oficial del 'bug' no dejan de repetir que es algo "muy serio" y que cualquiera puede verse afectado directa o indirectamente: "OpenSSL es la libería criptográfica de código abierto más popular y la más usada para cifrar el tráfico de Internet. Su red social, el sitio web de su empresa, el sitio donde compra, se divierte o donde descarga sus programas, incluso los sitios web de su gobierno pueden estar usando OpenSSL vulnerable. La mayoría de servicios en línea lo usan para identificarse ante usted y proteger su privacidad y transacciones. Posiblemente e haya conectado a aparatos con sistemas de acceso securizados mediante este sistema. O incluso puede tener programas en su ordenador que pueden exponer sus datos si se conecta a servicios comprometidos".

Los responsables del Proyecto OpenSSL son un pequeño equipo de programadores voluntarios. El criptógrafo Matthew Green avisa en su blog que las iras no deben caer sobre ellos, pues "mantienen la librería de comunicaciones cifradas más importante del mundo, es un trabajo duro y no remunerado que implica coger el código que aportan otras personas, como en el caso de Heartbeat, y revisarlo de la mejor forma posible". Green asegura: "Quizás, mientras estén parcheando su servidores, algunas de esas grandes compañías que usan OpenSSL pensarán en mandarles algo de financiación sin condiciones, para que puedan seguir haciendo su trabajo".

Fuente: El Mundo.