Podría haber pensado que ese pequeño candado en la barra de direcciones de su navegador significaba que estaba seguro. Que su conexión web estaba encriptada y que podía proporcionar de forma segura nombres de usuario, contraseñas, números de tarjetas de crédito y más.

Pero es hora de volver a pensar..

El error Heartbleed recientemente descubierto podría permitir a los atacantes leer la memoria de un servidor web aparentemente protegido, lo que podría darles acceso a nombres de usuario, contraseñas, detalles de tarjetas de crédito y cualquier otra cosa que pueda haber estado haciendo en ese sitio..

Y si crees que eso es malo, Heartbleed ha dejado tus datos confidenciales abiertos para atacar durante más de dos años. ¿Qué significa esto? Aquí tienes todo lo que necesitas saber..

1. ¿Qué es Heartbleed?

Es una vulnerabilidad grave en OpenSSL, una biblioteca popular que se utiliza para cifrar y proteger varias conexiones web, de correo electrónico y otras.

Esencialmente, al pasar un valor incorrecto a una extensión OpenSSL, un atacante puede leer hasta 64 KB de la memoria del host. El proceso se puede repetir para leer más RAM, exponer nombres, contraseñas, contenido y cualquier otro dato: no tiene ninguna protección..

2. ¿Qué tan extendida está?

La buena noticia: este no es un problema fundamental con la tecnología central SSL / TLS. Se trata de un error específico en una implementación, OpenSSL release 1.0.1, lanzado el 14 de marzo de 2012, que se corrigió en OpenSSL 1.0.1g el 7 de abril de 2014.

La mala noticia: OpenSSL es la biblioteca de cifrado estándar utilizada por Apache y nginx, los dos servidores web más utilizados, responsables de proteger más del 70% de los sitios más activos de la web..

Esto no es solo una cuestión en la que pueda suponer que está seguro en un sitio de renombre, entonces: la mayoría de las empresas serán vulnerables..

3. ¿Alguien ha usado Heartbleed en un ataque??

Los investigadores de Google y la empresa de seguridad finlandesa Codenomicon descubrieron la vulnerabilidad de manera independiente, no monitoreando la actividad de los piratas informáticos, por lo que no hay pruebas de que se haya utilizado en la vida real..

El problema es que el ataque no deja huella, sin embargo, no hay rastro en los registros, por lo que no hay manera de estar seguro. Debes asumir que cualquier cosa que crees que hayas comunicado de forma segura, en los últimos dos años, podría haber sido comprometida.

4. ¿Los sitios web son seguros ahora??

Tal vez. El error se corrigió en OpenSSL 1.0.1g, lanzado el 7 de abril. Pero eso no significa mucho, porque los sitios web deben instalar primero la actualización y reiniciar (o reiniciar varios servicios), lo que significa que probablemente no sucederá automáticamente.

Los sitios grandes, o cualquier otro que se administre activamente, ya deberían estar arreglados. Pero otros pueden permanecer vulnerables por mucho, mucho más tiempo..

5. ¿Puedo consultar un sitio para el error Heartbleed?

Sí. Hay una página de prueba específica de Heartbleed, y Qualys ha agregado la comprobación de Heartbleed a su prueba de servidor SSL. En ambos casos, simplemente ingrese el nombre de host de cualquier servidor que le preocupe, haga clic en el botón "Ir" / "Enviar" y espere un veredicto.

Tenga cuidado, sin embargo, con el alboroto actual, ambas páginas están recibiendo mucho tráfico, y encontramos que ocasionalmente nos negaban el acceso. Si tienes problemas, vuelve a intentarlo más tarde..

6. ¿Cómo puedo proteger mi propio sitio??

Si tiene un sitio web propio, y las pruebas muestran que es vulnerable, entonces necesita repararlo. Ahora.

Si tiene un servidor que usted mismo administra, debe actualizar a la versión 1.0.1g de OpenSSL.

Esto puede no ser demasiado difícil. Por ejemplo, con WHM / cPanel puede usar la opción "Actualizar a la última versión, luego elegir" Reiniciar servicios ">" Servidor HTTP (Apache) ", haciendo clic en" Forzar una reinstalación incluso si el sistema está actualizado ". Una vez hecho, ejecute la prueba Heartbleed en su sitio para confirmar que hay un cambio.

Sin embargo, si su proveedor de alojamiento web se ocupa de ese tipo de cosas, deberá ponerse en contacto con ellos para pedirles consejo. Algunos hosts están actualizando los servidores a medida que escribimos (9 de abril), otros no comienzan hasta mañana, algunos pueden dejarlo totalmente en manos del cliente. Habla con ellos y averigua..

7. ¿Qué debo hacer como usuario de internet??

Cambia todas tus contraseñas.

Sí, sabemos que es una molestia. Pero Heartbleed significa que todas sus credenciales de inicio de sesión pueden haber sido expuestas al mundo exterior. Claro, "podría" estar a salvo, pero ¿por qué arriesgarse? Cambiarlos ahora.

Además, piense dos veces antes de usar una conexión aparentemente segura durante los próximos días, a menos que las pruebas muestren que la compañía ya no es vulnerable. Actualmente estamos en un momento muy peligroso, ya que Heartbleed ahora ha estado expuesto a aquellos que quieren explotarlo antes de que todas las correcciones estén en su lugar: es mejor tener mucho cuidado.

  • Hay algo más sobre lo que ponerse paranoico: por qué el PIN de tu teléfono inteligente no es tan seguro como crees