A principios de abril, un grupo de ingenieros localizó una vulnerabilidad en el código de OpenSSL, un software libre muy utilizado por sitios web de todo el mundo para cifrar datos sensibles de los usuarios, como contraseñas, nombres o correo electrónico. Empresas como Google, Facebook, Yahoo o PayPal, además de muchos bancos, usan OpenSSL para convertir en seguras las comunicaciones entre el usuario y el servidor de la página donde accede, por lo que ahora, tras el fallo denominado Heartbleed, su seguridad está en entredicho. Este artículo ofrece indicaciones acerca de cómo actuar ante Heartbleed y otros fallos de seguridad similares.
Un error global
El fallo Heartbleed (corazón sangrante en inglés) permite entrar en el inicio de sesión de otros usuarios, gracias a unos pocos kilobytes de memoria (64) que el protocolo deja libres cuando se accede a un servidor seguro. Estos bits pueden ser utilizados para activar un programa de claves aleatorias que podría dar con las del usuario. De esta forma, se pueden robar las credenciales de terceros.
El fallo Heartbleed permite entrar en el inicio de sesión de otros usuarios
Al mismo tiempo que se anunciaba el fallo, también se publicó el parche para su solución, lo que llevó a muchas empresas a actualizar sus librerías. Sin embargo, se estima que cerca de un millón de servidores usaban alguna de las versiones de OpenSSL con el «bug» descubierto. Algunas firmas de seguridad elevan la incidencia a una parte importante de Internet. De hecho, se considera que Heartbleed es uno de los tres mayores errores en la historia de la Red.
La forma de aprovecharse del fallo es mediante la obtención esos 64 kilobytes de la memoria del servidor para, en diferentes ataques, hacerse con porciones de datos. La parte buena de la noticia es que un atacante no puede elegir a qué parte de la memoria accede y, por tanto, que se asalte un servidor no significa que este vaya a darle con rapidez las contraseñas de las personas.
¿Cómo sé si mis datos están seguros?
Uno de los problemas para los usuarios es que no pueden saber si sus datos han sido obtenidos de forma maliciosa por un tercero. Por tanto, la opción más segura es cambiar las contraseñas de todos los servicios que empleen OpenSSL.
La opción más segura es cambiar las contraseñas de todos los servicios que utilicen OpenSSL
Algunas plataformas de Internet han enviado correos electrónicos a sus usuarios donde se les avisa del fallo y recomienda el cambio de contraseña. Sin embargo, no todos los servicios han lanzado esta advertencia. Según Bloomberg, la NSA (Agencia Nacional de Inteligencia de EE.UU.) estuvo utilizando esta vulnerabilidad para acceder a información, aunque esto después fue desmentido por la propia NSA en Twitter.
Recomendaciones para protegerse de Heartbleed
Existen algunas herramientas on line, como LastPass Heartbleed checker o Heartbleed test, que permiten averiguar si una página web es aún vulnerable a este fallo de seguridad. De esta forma, los usuarios pueden comprobar si sus datos personales están comprometidos.
También existe una extensión para el navegador Chrome que avisa a la persona si accede a una página web vulnerable a Heartbleed.
Pero la recomendación más importante es cambiar la contraseña de todos los sitios que empleen Open SSL y que hayan estado comprometidos. Pero como en la actualidad el usuario no puede saber cuáles lo fueron, más allá de los servicios más conocidos de la Red, este consejo se extiende a todos los servicios de Internet que utilice.
Consejos para cambiar la contraseña
Este importante fallo de seguridad ha puesto de manifiesto la importancia de contar con contraseñas fuertes y únicas por cada sitio web. Muchas personas usan la misma contraseña para darse de alta en decenas de páginas webs a través de Internet. Sin embargo, en el momento en que uno de estos servicios quede comprometido a través de un ataque malicioso, que roba las credenciales de los usuarios, también se expondrá al mismo peligro al resto de sitios donde el ciudadano comparta la misma combinación de correo electrónico y nombre de usuario y contraseña.
Hay que buscar claves de más de ocho dígitos y que sean una combinación alfanumérica con signos de teclado
Algunos consejos para elegir una contraseña pasan por buscar claves de más de ocho dígitos y que sean una combinación alfanumérica con signos de teclado. Para asegurarse de que la combinación es correcta, en Internet hay diferentes generadores de contraseñas fuertes.
Una regla mnemotécnica para generar contraseñas que puedan recordarse sin problemas consiste en pensar en una frase que el usuario pueda recordar con facilidad; seleccionar la inicial de cada palabra de la frase; y poner algunas en mayúsculas, minúsculas y números para al final añadir algunos caracteres especiales. Así, para la frase «En un lugar de la mancha cuyo nombre no quiero acordarme», la contraseña podría ser «3udL1MCnNQA$».
Las contraseñas generadas no hay que dejarlas apuntadas en texto plano en un documento del ordenador, ya que un acceso no autorizado al dispositivo podría comprometer la seguridad del usuario. Para ello, existen algunas aplicaciones como 1Password, LastPass o PassLocker, que almacenan y gestionan de forma segura las contraseñas de todos los servicios on line y aplicaciones del usuario.