Cómo protegerte de Heartbleed, el bug que amenaza Internet
El reciente descubrimiento de Heartbleed, una vulnerabilidad de OpenSSL, ha puesto en jaque al mundo digital y supone una amenaza para todo aquel que navegue por Internet. Esta vulnerabilidad afecta al sistema de cifrado de contraseñas utilizado por muchas páginas web.
¿Qué es OpenSSL y qué es Heartbleed?
OpenSSL es la versión de código abierto de SSL, una librería de software usada para cifrar las comunicaciones entre nuestro navegador, y el servidor donde se aloja el servicio que estemos utilizando. Es, en definitiva, uno de los muchos sistemas que utilizan las compañías para ocultar nuestros datos a ojos de extraños.
Heartbleed es el apodo de una vulnerabilidad conocida como CVE-2014-0160 que afecta a las versiones 10.1 y 10.1f de OpenSSL. Según han podido comprobar diversos especialistas de seguridad, un hacker puede desarrollar un código que aproveche esa grieta, y robar información de usuarios.
Los expertos no se ponen de acuerdo sobre qué datos exactos están en peligro, pero parece que incluyen direcciones de e-mail, contraseñas y hasta números de cuentas bancarias. Los responsables de OpenSSL ya han publicado un parche que soluciona la vulnerabilidad, pero aún hay servicios que no han podido aplicarlo.
¿A qué servicios afecta?
Heartbleed no es un problema universal, pero si bastante extendido. Afecta solo a los sites que utilizaban estas versiones de OpenSSL. Según Netcraft, eso supone el 66% de las páginas activas de internet.
Entre los servicios que han podido verse afectados en algún momento encontramos algunos bastante populares como el correo de Yahoo, los servicios de fotografía Flickr, y 500px, la página de XDA Developers, Imgur, la web de citas OkCupid, o sitios de vídeos porno como RedTube.
Servicios básicos como Google, Facebook, YouTube, Amazon o WordPress no se han visto afectados porque no utilizan OpenSSL, o utilizan una versión que sí es segura. Aquí podéis consultar una lista completa de los dominios conocidos que han quedado al descubierto en algún momento. Algunos de ellos ya son seguros otra vez, pero es complicado determinar el alcance de la fuga de información en cada caso. Por aquí tenéis también una lista actualizada de algunas de las páginas web afectadas y si han parcheado ya el problema o no para cambiar tu contraseña.
¿Qué puedo hacer yo?
Desgraciadamente, los usuarios no podemos hacer mucho al respecto. La brecha tiene que ser corregida en los propios servidores de cada página web, y cambiar la contraseña de, por ejemplo, nuestra cuenta de Yahoo no ayuda si la brecha sigue estando ahí.
La única medida razonable es chequear qué servicios utilizamos de los que se han visto afectados, e intentar no usarlos hasta que corrijan el fallo. Los técnicos de cada casa están trabajando en determinar el alcance de los daños (si es que los ha habido), y seguramente emitan comunicados advirtiendo a los usuarios de la conveniencia o no de cambiar la contraseña. Yahoo, por ejemplo, ya enviado emails al respecto a sus usuarios. Una vez la brecha ya está reparada, tienes que cambiar enseguida las contraseñas de esos servicios.
