Esta semana se ha desvelado un gravísimo fallo de seguridad que podría haber comprometido a un sinfín de servicios en Internet. La librería OpenSSL es utilizada por infinidad de servidores web para gestionar los protocolos de seguridad SSL y TLS. Teniendo en cuenta que el agujero descubierto existe desde diciembre de 2011, han saltado todas las alarmas y compañías de envergadura como Google o Facebook ya están tomando medidas para resolverlo. Aunque se trata de un problema que no nos afecta directamente, muchos servicios están recomendando cambiar nuestras contraseñas.

HearthBleed, Internet sangra

Vamos a intentar explicar el problema de la forma más mundana para que todos podamos entender la gravedad de esta situación. El fallo descubierto daría pie a que un atacante inyectar código en un servidor ‘engañándole’ mediante el envío de paquetes de datos con un tamaño falso que podría servir para ocultar datos que permitirían capturar sus credenciales de seguridad. Desde esta página podemos informarnos en profundidad de la naturaleza del agujero.

Ahora bien, imaginemos que ese ataque ha tenido lugar, qué se yo, en un servidor de Facebook, y que como hacemos a diario, introducimos nuestros credenciales en nuestro equipo o smartphone para acceder a la red social, de forma que nuestro equipo realice la solicitud al servidor correspondiente que nos proporciona dicho servicio. ¿Pero qué pasa si el atacante logra hacerse pasar por dicho servidor tras haberse aprovechado del fallo de seguridad? Pues que estaríamos enviando nuestra clave de Facebook a un desconocido.

HearthBleed-FB

¿Qué puedo hacer para protegerme?

Desde que se conoció el problema, infinidad de empresas que hacían uso de OpenSSL están realizando sus propios comunicados para informar sobre la situación de su servicio. En Mashable han realizado una completa lista con los servicios de envergadura que han dado parte de lo ocurrido y las medidas a tener en cuenta en caso de haber visto comprometida su seguridad:

  • Facebook: Aunque no han encontrado evidencias de ataques, recomiendan encarecidamente que cambiemos el password.
  • Tumbr: El agujero ya está corregido, pero sugieren cambiar contraseña.
  • Twitter: Aún no se han pronunciado y no se sabe si le ha afectado.
  • Yahoo(Mail): Se ha visto afectado, trabajan en la solución, cambiar password.
  • Dropbox: Han resuelto el problema, se recomienda cambiar contraseña.
  • Instagram: Recomiendan cambiar la contraseña, sobre todo si usamos la misma en varios sitios.
  • Pinterest: Se han enviado correos a determinados usuarios para que cambien sus credenciales.
  • GitHub: Al acceder automáticamente nos piden la renovación de contraseñas
  • Box: Han decidido resetear todos los passwords de usuario.

Muchos otros servicios se han visto comprometidos, como LastPass, SoundCloud, OKCupid o Wunderlist. Incluso servidores de videojuegos como Minecraft detuvieron temporalmente toda su actividad hasta lanzar un parche para el cliente de juego. Llevando la situación al límite,  desde la fundación TOR incluso recomiendan mantenernos apartados de Internet durante unos días.

Tal es la cantidad de webs comprometidas que lo más sensato es comprobar uno a uno los servicios que utilizamos a menudo y confirmar si se han visto afectados o si han solucionado ya el problema. Desde esta página podemos comprobar si una página web ha solucionado ya el bug CVE-2014-0160, la referencia oficial del error.

Sponsored content