Esta semana se dio a conocer un preocupante problema de seguridad web que afecta a dos tercios de Internet: se trata de un error (bug) llamado “Heartbleed”, el cual permite a cualquier cibercriminal con acceso a la red robar datos protegidos en un servidor.
Precisamente corresponde a una falla en OpenSSL, un software de encriptación de código abierto usado por cerca del 66% de los servidores existentes en Internet, y que podría poner en riesgo los datos sensibles de los usuarios como contraseñas, datos de tarjetas de créditos y correos electrónicos, entre otros.
Uno de los aspectos más críticos es que dicha tecnología está detrás de múltiples sitios HTTPS que recogen información personal o financiera, los cuales se identifican con el ícono de un pequeño candado ubicado en la barra de direcciones y que avisa a los cibernautas que sus datos están a salvo de los espías web.
Al respecto, se precisó que actualmente los cibercriminales pueden explotar el bug para acceder a los datos personales de los usuarios y a las contraseñas criptográficas de los sitios, con el fin de crear imitaciones de las páginas para engañar a quienes navegan.
De acuerdo a la cadena CNN, “Heartbleed” fue descubierto por un investigador de Google y una compañía finlandesa de seguridad llamada Codenomicon.
Al respecto, señalaron que el bug es el resultado de un pequeño error de código que, no obstante, podría tener graves consecuencias para muchos usuarios.
Si bien fue hallado la semana pasada y revelado este lunes, los expertos señalan que este bug existe desde marzo de 2012. “Cualquier comunicación que haya pasado por SSL en los últimos dos años es susceptible”, dijo la cadena de noticias.
Por su parte, los investigadores indicaron que lo que hace peligrosa a esta falla es que su arreglo no es simple. En concreto, los sitios deben actualizar la versión de OpenSSL, revocar los certificados SSLL entregados y emitir unos nuevos para proteger los datos de los cibernautas y las claves de encriptación.
En este sentido grandes sitios web como Google, Yahoo!, Amazon y Facebook señalaron que ya han tomado medidas para combatir a “Heartbleed”.
Pero éste no es un problema que sólo afecte a los gigantes de Internet, sino que también a pequeñas tiendas en línea y otros servicios que utilicen OpenSSL, los que podrían tardar incluso más tiempo en hacer efectivos los arreglos.
Paralelamente, los usuarios se enfrentarán a un panorama aún más complicado: actualmente la mayoría de las páginas no señalan si usan o no OpenSSL, por lo que será difícil identificar cuáles sitios son más “seguros” que otros.
De momento, se recomienda a los internautas cambiar las contraseñas de los sitios que visitan regularmente, una vez que sepan si usan o no la tecnología vulnerada. Paralelamente, se espera que los sitios envíen correos a sus usuarios para explicarles los pasos a seguir ante la falla y si, eventualmente, necesitan modificar sus passwords.
