La red ha sido azotada con uno de los problemas más preocupantes que se recuerdan. Algunos incluso aseguran que se trata del mayor fallo de seguridad de la historia de internet. Se conoce como Heartbleed y seguro que has oído hablar de él en multitud de ocasiones durante los últimos días.
Pero ¿qué es Heartbleed, cómo nos afecta y cómo podemos protegernos de este lamentable error? Vamos a hablar sobre ello para conocer todo lo que debes saber sobre Heartbleed y cómo actuar para minimizar su impacto en tu información virtual en internet.
¿Qué es Heartbleed?
A nivel técnico Heartbleed es un fallo de OpenSSL, la librería que utilizan gran parte de redes y servidores HTTPS para encriptar su contenido y que la navegación se realice de forma segura para el usuario.
El problema viene cuando tras dos años implementada en la librería OpenSSL, el pasado 7 de abril se dio a conocer una vulnerabilidad que permitía que la información protegida pudiese ser robada, accediendo así a todo tipo de contenido, desde usuarios y contraseñas hasta mensajes.
Para entender mejor el problema intentemos explicarlo de otra forma. Imaginad que nuestro servidor es un almacén de cajas y pedimos que nos envíen 10 cajas, y lo engañamos afirmando que las 10 cajas que necesitamos son de la 1 a la 100. El fallo reside en que el almacén no verifica ambas cifras y en vez de enviarnos sólo de la 1 a la 10 sigue sumando cajas hasta alcanzar la número 100.
En dichas cajas puede haber cosas inútiles, restos de otras cajas ya eliminadas o cajas vacías, pero también puede que encontremos la llave del almacén, y eso supone tener acceso a toda la información que hay guardada en él.
¿Qué páginas han sido afectadas por Heartbleed?
Como decíamos al principio OpenSSL es usado por multitud de servidores, ya que se trata de un código abierto que cientos de páginas han utilizado para cifrar su contenido. En resumen, la vulnerabilidad llega a casi todos los rincones, desde servicios de correo hasta redes sociales.
Entre ellos hay grandes conocidos como Dropbox, Facebook, Flickr, Foursquare, GMail, Google, Instagram, Minecraft, Pinterest, Twitter, Tumblr, Yahoo o YouTube, y los administradores de los distintos servicios ya se han puesto manos a la obra para actualizar sus servidores a una versión que no cuente con el citado fallo de seguridad.
¿Tenéis dudas sobre una página en concreto? para ello podéis utilizar servicios como este Heartbleed test. Sólo tenéis que introducir el domino sobre el que no estáis seguros de su fiabilidad y, si no hay ningún problema, la página os devolverá un mensaje confirmando que el sitio no se ha visto afectado o ya ha solucionado el problema.
Si os encontráis con algún error las FAQ del servicio nos informarán de su procedencia, pero lo más probable es que el sitio sobre el que estáis solicitando información no trabaje con SSL y, por tanto, no es vulnerable al fallo.
¿Cómo puedo protegerme de Heartbleed?
El mayor problema al que debemos hacer frente tras el fallo de seguridad Heartbleed es que alguien se haya apoderado de nuestros credenciales, así que lo más recomendable es que cambiemos nuestras contraseñas para evitar que terceros puedan acceder a nuestra información.
Sin embargo primero debemos tener en cuenta dos cosas. La primera es que aunque la mayoría de servidores vulnerables ya se han encargado de solucionar el fallo, aún se desconoce hasta qué punto ha sido afectada la red, y si algunas páginas no han actualizado a la nueva versión de OpenSSL de nada servirá que actualicemos nuestra contraseña.
Para ello lo mejor es recurrir a información como la que nos ofrece el Heartbleed test. Si tras comprobarlo ya sabemos que el sitio no sufre esta vulnerabilidad, entonces ya podemos actualizar nuestra contraseña, lo que además nos lleva a ese segundo factor que no deberíamos olvidar.
Se trata de aprovechar esta situación para aumentar la seguridad de nuestras contraseñas. Recientemente hablábamos sobre ello y os dábamos a conocer las claves para maximizar nuestra seguridad en internet recurriendo a contraseñas seguras que tengan más de siete caracteres, que no coincidan con palabras del diccionario y que combinen números, letras mayúsculas, minúsculas y signos.
También podemos hacer uso de gestores de contraseñas que nos permitan hacer uso de códigos con mayor seguridad frente a posibles vulnerabilidades sin la necesidad de tener que recordarlos para su validación en posteriores ocasiones, pero es de especial importancia que nos sumemos a la opción de la identificación en dos pasos que ofrecen servicios como Google o Facebook. Así, mediante un código en nuestro teléfono podremos controlar la admisión a nuestras cuentas si se realizan desde un sistema que no es el habitual.
Más en AnexoM | Seguridad en Internet: Consejos para proteger tu red (I), Seguridad en Internet: Consejos para proteger tu red (II)
Gracias por la información, me va a ser muy útil