Apenas ayer nos enteramos de Heartbleed, una falla en el servicio de seguridad OpenSSL, que afecta a muchos de los servidores en Internet y que deja vulnerables los datos de los usuarios.

¿Y esto qué significa?

Básicamente, esto quiere decir que hay una vulnerabilidad en el famoso protocolo HTTPS, el mismo que muchísimas de las páginas y servicios web utilizan para transferir de forma segura los datos de los usuarios: nuestros datos.

Pero no es tan grave, ¿o sí?

En muchos lados se dice que la falla afecta aproximadamente el 66% de todos los sitios web en el mundo, pues se hace referencia a los servidores Apache y ngix, dos de los más usados. Sin embargo, un reporte de Netcraft señala que no todos los servidores manejan el protocolo HTTPS, por lo que en realidad Heartbleed estaría presente en el 17.6% de los sitios que manejan SSL, el equivalente a unas 500 mil páginas.

Lo peor de todo es que la falla ha existido desde hace dos años, por lo que se desconoce si alguien ya había explotado este bug desde entonces (¿alguien dijo NSA?). A estas alturas ya se sabe que páginas como Yahoo, Flickr, Imgur y WeTransfer han sido afectados por esta vulnerabilidad. Incluso se han realizado pruebas en las que se consiguió extraer nombres de usuario y passwords en texto plano directamente desde uno de los servidores de Yahoo.

Otros sitios como Google, Facebook y Amazon están fuera de peligro, debido a que algunos ya habían parchado la versión defectuosa del protocolo lanzada en 2012, o a que ya habían revocado y regenerado sus certificados SSL antes de que  se realizaran las pruebas. Si quieres conocer la lista completa de las webs que se sabe han sido afectadas hasta ahora, puedes consultarla en este enlace.

Heartbleed-02
Tipos de servidores afectados por Heartbleed

¿Y qué podemos hacer al respecto?

Prácticamente nada. Las grandes empresas de Internet ya trabajan en arreglar el problema, y al tratarse de una falla a nivel de servidores no es algo que en lo que los usuarios podamos ayudar.

Eso sí, es recomendable que si utilizas alguno de los servicios afectados no ingreses hasta que el problema se resuelva, o contactes a la compañía para conocer el estatus de su seguridad (sobre todo si tiene tu número de tarjeta de crédito). Quizás suene  a una medida exagerada, pero es la única forma en la que puedes evitar que tus datos sean interceptados en este momento de fragilidad.

Por ahora sólo queda esperar a que la situación mejore en los próximos días, aunque tampoco sería raro escuchar de algún ataque importante a los servidores vulnerables. Más vale que nos vayamos preparando para cambiar nuestras contraseña, ya que luego de lo sucedido, los servicios afectados solicitarán el reinicio de las claves.

fuente Netcraft

temas