4/11/2014

¡Cambia tu 'password'!


Hoy podrían estar en riesgo tu correo, tus redes sociales y hasta tus tarjetas de crédito. El bug ‘Heartbleed’ que infectó a miles de sitios representa el momento de vulnerabilidad más importante en la historia de Internet

 

Antes de cambiar tu contraseña asegúrate de que el sitio ya solucionó la vulnerabilidad. Si no es así, una nueva password no servirá de nada

En un momento en que el mundo lucha por recuperar su privacidad, amenazado por la sobreexposición en Internet y la revelación de años de espionaje gubernamental, salió a la luz un bug que se interesa no solo por datos inalcanzables, sino que hace vulnerables a sitios que visitamos de forma cotidiana: “Heartbleed”.

La ruptura fue descubierta por ingenieros de Codenomicon y Google Security, quienes la dieron a conocer para que los dueños de sitios Web hicieran los arreglos necesarios para proteger la información de sus usuarios.

Sin embargo, “Heartbleed” ha sido mencionado en sitios y blogs especializados desde hace cerca de dos años, sin que se le pusiera mucha atención. Una de las preocupaciones en la Red es que haya sido aprovechado por la Agencia Nacional de Seguridad de Estados Unidos (NSA, por sus siglas en inglés), para tener acceso a conversaciones privadas o datos confidenciales.

Ahora que el bug salió a la luz y gigantes como Yahoo! y Facebook han modificado sus protocolos de seguridad para dejar de ser vulnerables, es nuestro turno de actuar. Es hora de cambiar nuestras contraseñas.

¿Qué es ‘Heartbleed’? 
Así como en la vida real confiamos en las credenciales, uniformes y sucursales oficiales cuando hacemos una transacción importante en un banco, en Internet se usan los protocolos de seguridad para dar confianza a los usuarios de que sus datos estarán completamente seguros.
Con un certificado de seguridad, un sitio Web asegura que es confiable y que la información que maneja está protegida y encriptada.  Estos certificados están presentes en la vida diaria del mundo digital: cada que hacemos una compra en alguna tienda en línea o nos conectamos a una red social, en los navegadores aparece un ícono de candado o un aviso de "identidad verificada".
Aquí es donde entra "Heartbleed". Es un bug, una vulnerabilidad en un protocolo de seguridad importante: OpenSSL.
El nombre del “bug” se deriva del proceso del que se aprovecha: permite acceso a pequeños montos de datos transmitidos con cada señal periódica entre máquinas (un heartbeat o latido). Esto facilita que terceros (como un hacker) tengan acceso a contraseñas o códigos de encriptación, y así obtener la información sensible en un servidor.

¿Por qué es grave?
Aunque la mayor parte de los sitios ya crearon parches para proteger su información, no podemos estar seguros de cuáles fueron atacados ni que información se obtuvo, porque “Heartbleed” da a los invasores una manera de tener acceso sin dejar rastros.
No se conoce desde cuándo está activo ni cuántas personas sabían sobre él, así que puede haber sido usado por varios años sin que la actividad fuera detectada. Así como tus datos podrían estar intactos, podrían haber sido copiados durante un ataque.
Además, la proporción de páginas que usan OpenSSL es enorme: cerca del 66 por ciento de todo Internet.
Hay cuatro tipos de datos que pueden ser capturados a través de “Heartbleed”. El más importante son las claves de encriptación, seguidas por nombres de usuarios y contraseñas. En tercer lugar está el contenido protegido como correos electrónicos y datos bancarios, y por último se encuentra el contenido colateral, o el código que hace que cada plataforma funcione correctamente.
Piensa en toda la información que das a sitios Web: datos de tarjetas de crédito, tu dirección y teléfono, conversaciones profesionales e incluso fotografías o archivos confidenciales, como en el caso de Dropbox.
Todos ellos podrían caer en manos de desconocidos sin ningún aviso, gracias a que confiaste en el ícono de candado o en las condiciones de privacidad de la página.
Este bug afecta potencialmente a todos los usuarios de Internet, ya que desde redes sociales hasta sitios de comercio en línea y páginas gubernamentales fueron vulnerables durante un tiempo indeterminado.

¿Qué debes hacer?
Es fácil entrar en pánico al escuchar que tu información personal y/o profesional  estuvo en peligro, pero lo único que tienes que hacer es ser más cuidadoso de lo normal y cambiar tus contraseñas siguiendo un par de precauciones.
Antes de modificarlas, asegúrate de que el sitio ya solucionó la vulnerabilidad. Si no lo ha hecho y generas una password nueva, esta seguirá en peligro de ser robada.  En Internet hay varias herramientas disponibles para hacer esta verificación.
Para mantener la calma solo debes recordar que es poco probable que, si alguien tuvo acceso a ella, es poco probable que la utilice en el tiempo que te lleva pensar en una nueva contraseña.
Otra precaución es utilizar un navegador que te avise cuando no confía en el certificado de seguridad de una página, y no dar click en “Aceptar” sin haber verificado que se trate de un sitio confiable.

¿Qué hacen los sitios?
Tras enterarse de la existencia de “Heartbleed”, sitios como Google, Yahoo! y Dropbox implementaron parches para solucionar la vulnerabilidad, pero aconsejaron a sus usuarios cambiar sus contraseñas como medida preventiva.
Por su parte, Facebook afirmó que solucionó el problema antes de que se hiciera público, pero como no se notificó a los usuarios, es recomendable crear una nueva password.
No solo redes sociales, universidades y empresas también
Las tarjetas de crédito y las contraseñas son la prioridad para la mayoría de los usuarios. Pero los alcances de "Heartbleed" no tienen límites.

En la lista de sitios vulnerables que fue compilada por el analista Donnie Berkholz esta semana aparece la Universidad de California, Los Ángeles (UCLA). Esto nos recuerda que la información académica también puede ser considerada como sensible. Pensemos en las calificaciones y registros de estudiantes, la información bancaria o los intercambios en correo electrónico.
A nivel nacional, dos empresas que aparecieron en la lista difundida este fin de semana fueron Mercado Libre, que fue calificado como vulnerable en las "sucursales" digitales que tiene en cada país; y Cinépolis, que según se difundió en Twitter implementó una solución en los últimos días.

¿En dónde no es necesario? 
Algunos de los sitios que no fueron afectados por “Heartbleed”:

· LinkedIn ,  AOL ,  Hotmail/Outlook ,  Amazon,  eBay,  PayPal,  Evernote,  Hootsuite

No hay comentarios.:

Publicar un comentario