En abril se reveló la existencia de una grave vulnerabilidad conocida como Heartbleed, que permitía el robo de información a través del famoso protocolo HTTPS. Actualmente se calcula que todavía más de 300 mil servidores son vulnerables a esta falla.

Ya han pasado dos meses desde que se informó de la existencia del bug Heartbleed, una vulnerabilidad crítica que afectaba al proyecto de código abierto OpenSSL utilizado por miles de sitios web, que ponía en peligro la información de millones de usuarios y afectaba a muchos de los servidores más importantes de Internet. A pesar de la gran atención mediática que se le dio al problema, aún no se ha conseguido erradicar por completo el problema.

El investigador de seguridad Robert David Graham, a través del estudio de un único puerto de los servidores, ha advertido este fin de semana desde su blog personal que por lo menos 309,197  servidores siguen siendo vulnerables a Heartbleed. Sin embargo, vale la pena aclarar que sólo se analizó un puerto, por lo que los servidores afectados podrían ser muchos más.

Graham ha realizado escaneos similares desde que su publicó la existencia de Heartbleed, y su primer estudio arrojó el descubrimiento de 615,268 servidores afectados. Un mes después, el investigador repitió el experimento y contabilizó 318,239 servidores expuestos. De entonces a la fecha la vulnerabilidad sólo se ha reducido mínimamente, por lo que Graham sostiene que difícilmente disminuirá el número de casos en poco tiempo. Más preocupante todavía es que el investigador cree que la vulnerabilidad no desaparecerá en al menos una década.

Desde que se descubrió la falla se le ha sugerido a los usuarios de diversos servicios en Internet que cambien sus contraseñas. Adicionalmente algunos servicios gratuitos, como el de McAffe, permiten corroborar si la seguridad de algún sitio sigue siendo vulnerable. Si a estas altura sigues con el mismo password desde hace varios meses, esta es una buena oportunidad para cambiarlo.

vía Zd Net

fuente Rober D. Graham

temas