Heartbleed: Fallo de OpenSSL pone en alto riesgo la privacidad de más del 60% de los usuarios de Internet
Este artículo está probablemente obsoleto
Este artículo fue publicado hace más de 10 años (el 09 de abril del 2014, para ser exactos). La información contenida puede estar muy desactualizada o ya no ser relevante.
El artículo existe como archivo de este sitio y de la antigüedad del mismo. Este blog existe en el Internet desde el 2007!
Algunos o todos los enlaces de este artículo pueden haber sido removidos o estar rotos debido a la antigüedad del mismo. Te pedimos las disculpas por cualquier inconveniente que esto pueda causar.
A nivel básico, e intentando explicarlo fácilmente, el fallo permite a cualquier persona acceder a 64 kilobytes de memoria del servidor objetivo. En ese espacio de memoria, cualquier elemento que esté almacenado allí es visible por el atacante –y literalmente “todo” pasa por memoria–. Peor aún: el fallo no deja rastros, y puede realizarse repetitivamente para ir accediendo cada vez a más partes de la memoria del servidor por lo que, literalmente, las posibilidades son infinitas.
Bruce Schneier, especialista en seguridad, miembro del directorio del Electronic Frontier Foundation, indica que, de la escala de lo catastrófico del fallo entre el 1 al 10, este se sitúa en el 11. Prácticamente, medio millón de sitios web son vulnerables a este fallo incluyendo, negativamente, este propio weblog.
Los sitios vulnerables son aquellos que utilizan servicios de alojamiento que no cuentan con una versión de OpenSSL actualizada. La última versión, salida el 4 de Abril corrige el fallo, pero probablemente pasará mucho tiempo antes de que una buena parte de los sitios web actualicen a esta versión. Más aún, según Netcraft, un 66% de los sitios de Internet de los cuales pueden analizar son vulnerables a este fallo. Amazon AWS, el servicio de alojamiento en la Nube que hospeda, entre otros, a Netflix, también fue vulnerable por un periodo de tiempo determinado, aunque declaran que el fallo está actualmente corregido.
La solución no pasa sólo por actualizar OpenSSL, el programa con el fallo en cuestión, sino también cambiar las licencias SSL que protegen los sitios web. Las licencias SSL son las encargadas de proteger la comunicación de sitios de comercio electrónico, y se detectan por el “candado verde” que aparece en los sitios web seguros. Ese “candado” requiere de dos claves para asegurar la información: una pública y otra privada. La privada sólo la maneja la página web que quiere asegurar la información, pero con el fallo de OpenSSL es posible que cualquiera pueda acceder a dichas claves.
Con lo anterior también se presenta un nuevo problema: muchos de los actuales vendedores de licencias SSL cobran un valor por generar y/o regenerar las licencias. Y dado que, técnicamente, el problema no fue generado por ellos, una buena parte de las empresas deberá pagar un adicional para obtener una nueva licencia cuyas claves no se hayan visto comprometidas.
Todo el problema en sí producirá una serie de pequeños inconvenientes tanto en pequeñas como medianas empresas relacionadas a la web y, lamentablemente, muchos sitios seguirán con problemas de seguridad a menos que tengan la capacidad suficiente para actualizar OpenSSL y, a la vez, pagar por nuevas licencias que, probablemente, muchos no contarán con dicha capacidad. ¡Y ni hablar de la cantidad de información que habrá sido posible de “robar” desde servidores afectados en el lapso de tiempo que existió este fallo! Ya que el fallo fue descubierto este mes, pero su existencia puede haber sido, perfectamente, de años.
Más información | Heartbleed
Continúa Leyendo
Microsoft, Google y Netflix trabajan en una protección DRM para los vídeos en HTML5
Microsoft, Google y Netflix han estado trabajando arduamente para presentar al W3C un borrador de …
IObit lanza promoción del día de los Enamorados con Advanced SystemCare 5 Pro GRATIS!
La gente de IObit no deja de sorprendernos. Si hace algunos días estuvimos regalando 15 licencias …