Más de 300.000 servidores aún están afectados por la vulnerabilidad Heartbleed

Dicha cifra significa la mitad de lo registrado hace un mes atrás, cuando fue descubierta la falla en OpenSSL.

Portátil bloqueado con candado

Cerca de un mes atrás, nos enteramos de la existencia de un gran problema de seguridad apodado “Heartbleed” y que afectaba a los servidores que alojan millones de sitios web alrededor del mundo, permitiendo a piratas informáticos acceder sin permiso a datos almacenados como contraseñas o información bancaria de los usuarios.

Pasaron las semanas y ahora un analista de la firma Errata Security ha publicado los resultados de su último estudio, el que revela que más de 300.000 sevidores aún están afectados por Heartbleed y no han corregido la vulnerabilidad presente en la plataforma OpenSSL, pese a que la medida para prevenirlo es simplemente actualizar el sistema a su última versión.

De todas maneras las cifras son mejores que las registradas por el mismo analista un mes atrás, fecha en la cual se hallaron 600.000 servidores vulnerables a Heartbleed pocos días después de conocerse su existencia, por lo que sería sólo cosa de tiempo para que eventualmente todos los administradores de sistemas tomen cartas en el asunto y actualicen su plataforma OpenSSL, para seguridad de los usuarios.

Fuente

Cómo protegerte de Heartbleed, el bug que amenaza Internet

El reciente descubrimiento de Heartbleed, una vulnerabilidad de OpenSSL, ha puesto en jaque al mundo digital y supone una amenaza para todo aquel que navegue por Internet. Esta vulnerabilidad afecta al sistema de cifrado de contraseñas utilizado por muchas páginas web.

hacked

¿Qué es OpenSSL y qué es Heartbleed?
OpenSSL es la versión de código abierto de SSL, una librería de software usada para cifrar las comunicaciones entre nuestro navegador, y el servidor donde se aloja el servicio que estemos utilizando. Es, en definitiva, uno de los muchos sistemas que utilizan las compañías para ocultar nuestros datos a ojos de extraños.

Heartbleed es el apodo de una vulnerabilidad conocida como CVE-2014-0160 que afecta a las versiones 10.1 y 10.1f de OpenSSL. Según han podido comprobar diversos especialistas de seguridad, un hacker puede desarrollar un código que aproveche esa grieta, y robar información de usuarios.

Los expertos no se ponen de acuerdo sobre qué datos exactos están en peligro, pero parece que incluyen direcciones de e-mail, contraseñas y hasta números de cuentas bancarias. Los responsables de OpenSSL ya han publicado un parche que soluciona la vulnerabilidad, pero aún hay servicios que no han podido aplicarlo.

¿A qué servicios afecta?
Heartbleed no es un problema universal, pero si bastante extendido. Afecta solo a los sites que utilizaban estas versiones de OpenSSL. Según Netcraft, eso supone el 66% de las páginas activas de internet.

Entre los servicios que han podido verse afectados en algún momento encontramos algunos bastante populares como el correo de Yahoo, los servicios de fotografía Flickr, y 500px, la página de XDA Developers, Imgur, la web de citas OkCupid, o sitios de vídeos porno como RedTube.

Servicios básicos como Google, Facebook, YouTube, Amazon o WordPress no se han visto afectados porque no utilizan OpenSSL, o utilizan una versión que sí es segura. Aquí podéis consultar una lista completa de los dominios conocidos que han quedado al descubierto en algún momento. Algunos de ellos ya son seguros otra vez, pero es complicado determinar el alcance de la fuga de información en cada caso. Por aquí tenéis también una lista actualizada de algunas de las páginas web afectadas y si han parcheado ya el problema o no para cambiar tu contraseña.

¿Qué puedo hacer yo?
Desgraciadamente, los usuarios no podemos hacer mucho al respecto. La brecha tiene que ser corregida en los propios servidores de cada página web, y cambiar la contraseña de, por ejemplo, nuestra cuenta de Yahoo no ayuda si la brecha sigue estando ahí.

La única medida razonable es chequear qué servicios utilizamos de los que se han visto afectados, e intentar no usarlos hasta que corrijan el fallo. Los técnicos de cada casa están trabajando en determinar el alcance de los daños (si es que los ha habido), y seguramente emitan comunicados advirtiendo a los usuarios de la conveniencia o no de cambiar la contraseña. Yahoo, por ejemplo, ya enviado emails al respecto a sus usuarios. Una vez la brecha ya está reparada, tienes que cambiar enseguida las contraseñas de esos servicios.

Fuente

Descubren un bug en OpenSSL que podría afectar a dos tercios de la web

Bautizado como Heartbleed Bug, este fallo afecta a OpenSSL 1.0.1 y OpenSSL 1.0.2-beta, abriendo las puertas al robo de información protegida.

candado seguro

El último fallo de seguridad que se ha descubierto en el panorama tecnológico podría tener unas dimensiones masivas.

Y es que este fallo afecta a las versiones 1.0.1 y 1.0.2-beta, extendiéndose a 1.0.1f y 1.0.2-beta1, de la herramienta para cifrado OpenSSL. Y, más concretamente a la “extensión del heartbeat TLS que se puede usar para revelar hasta 64k de memoria a un cliente o servidor conectado”, según explican los propios responsables del proyecto.

Dada la popularidad de la que goza el protocolo OpenSSL para gestionar transacciones online, las alertas se han disparado.

No en vano los servidores Apache y nginx, que sustentan dos tercios de la web, se basan en su tecnología, tal y como recuerda la página Heartbleed.com que se ha creado para explicar las implicaciones de esta vulnerabilidad bautizada, evidentemente, como Heartbleed Bug.

¿La consecuencia obvia? La posibilidad de robar información de terceros que se supone protegida. Aunque también se abre las puertas al desencadenamiento de un proceso de suplantación de identidades.

Para evitar problemas, desde OpenSSL recomiendan encarecidamente actualizar a la versión 1.0.1g.

Fuente