Cyberspace

Gadgets y Tecnologia

Cuando se pierde la confianza Heartbleed



OpenSSL vulnerado

OpenSSL vulnerado

Un corazón sangrando (heartbleed) ha sido la imagen utilizada para difundir la nueva vulnerabilidad detectada esta semana en OpenSSL, un paquete de librerías para la encripción de las comunicaciones usadas con frecuencia en Internet; y definitivamente ha sido como anillo al dedo la imagen porque la confianza que te daba un certificado digital ha sido vulnerada.  La explicación técnica del nombre de la vulnerabilidad heartbleed es por un juego de palabras que se asemeja al problema del sistema conocido como “heartbeat” de TLS.   “Para explicarlo en términos que podamos entender el común de los geeks, basta con decir que la vulnerabilidad se basa en pedir a un servidor una respuesta de su “latido”, con un paquete que dice tener 64 kilobytes, pero que en realidad incluye sólo un kilobyte. De esta manera, el servidor regresa 63 KB de su memoria, permitiendo que un hacker obtenga pedazos de información hasta conseguir detalles tan valiosos como nombres de usuarios, contraseñas y llaves de cifrado, sin dejar rastro de ningún tipo.”  http://es.engadget.com/2014/04/09/heartbleed-bug-openssl/

Y porque es tan crítica esta  nueva vulnerabilidad? pues porque son dos años desde la publicación de la versión OpenSSL 1.0.1f y es solo hasta esta semana que se la ha “identificado” y hecho público. Pero el tiempo de exposición ha sido muy largo y esto pudo ocasionar que mucha información confidencial como usuarios y contraseñas de SITIOS CON CERTIFICADO DIGITAL pudieron ser comprometida. Se estima que en Internet unos 3/4 de los servidores hacen uso de OpenSSL. Así imagine ud cuanta información pudo estar comprometida. Los sitios conocidos con mayor impacto fueron gmail, yahoo e instagram, los cuales han anunciado las actualizaciones correspondientes; sin embargo recomiendan que todos cambien sus contraseñas para mayor seguridad.

Si uds quieren saber si un sitio que ud visitan ya fue parchado contra esta vulnerabilidad pueden usar el servicio gratuito SSL LABS provisto por Qualys:

https://www.ssllabs.com/ssltest/

 

Información original generada en: http://heartbleed.com/

Héctor Gutiérrez C.

@hguty

Escriba un comentario