09/04/2014 seguridad informtica

Hearthbleed: la falla de seguridad que amenaza a la web

Cientos de miles de sitios y servicios de correo electrónico de todo el mundo quedaron vulnerables ante posibles ataques debido a una grave falla en OpenSSL, el software de cifrado más utilizado en la web, descubierta la semana pasada pero vigente desde 2012.



La vulnerabilidad, conocida como "Heartbleed", fue descubierta la semana pasada por empleados de Google y de la empresa de seguridad informática Codenomicon, y desde OpenSSL publicaron ayer una actualización que recomiendan instalar a todos los administradores de servicios en Internet.

El OpenSSL, utilizado por más del 60 por ciento de los servicios web, permite encriptar y desencriptar datos en las comunicaciones entre servidor y cliente (es decir, sirve para evitar que terceros accedan a información privada).

En los sitios que lo emplean -como los bancos, el comercio online o los servicios de correo electrónico-, se lo ve como un pequeño candado al lado del "https" de la URL.

"Esta vulnerabilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL / TLS utilizado para asegurar Internet", informa Heartbleed.com, un sitio creado para explicar la falla.

Esos datos "protegidos" son las claves secretas que se utilizan para identificar a los proveedores de servicio y cifrar el tráfico, así como los nombres y las contraseñas que los usuarios utilizan en esos servicios.

En el sitio de un banco con el software vulnerado, por ejemplo, un atacante podría robar la contraseña de un cliente y acceder a su información bancaria.

Analistas citados en diversos medios especializados coinciden en que se trata de una de las fallas más graves descubiertas en los últimos años.

En este sentido, los responsables del Proyecto Tor -una iniciativa cuyo objetivo es permitir a sus usuarios que naveguen desde el anonimato- recomiendan no usar Internet.

"Si necesitás anonimato o privacidad en Internet, es posible que quieras mantenerte desconectado totalmente durante los próximos días hasta que las cosas se calmen", recomiendan en su sitio.

Para mostrar como funciona la vulnerabilidad, el analista de seguridad informática Mak Loman logró extraer información de los servidores del servicio de mail de Yahoo! utilizando una herramienta libre, según informó el sitio especializado Ars Technica.

La falla está presente desde que se lanzó al versión 1.0.1 de OpenSSL, en marzo de 2012, y entre los sitios vulnerables figuran Yahoo!, Tumblr y Flickr.

Un vocero de esa compañía confirmó que el correo electrónico de la empresa era vulnerable, aunque afirmó que ya había sido parchado, al igual que otrs sitio de la empresa como Yahoo! Search, Flickr y Tumblr. "Estamos trabajando para implementar el arreglo en el resto de nuestros sitios justo en este momento", afirmó a Ars Technia.

En http://filippo.io/Heartbleed/ es posible saber si un servicio es vulnerable con sólo introducir la URL del mismo.


Comentarios