El fallo HeartBleed: Sitios web afectados y consejos para protegerse

Noviembre 2016


Descubierto en abril de 2014, el bug HeartBleed es una de las amenazas de seguridad más serias en Internet.

Esta vulnerabilidad crítica afectó durante dos años a ciertas versiones de la herramienta de cifrado open source OpenSSL, utilizada por numerosos sitios web para proteger el intercambio de datos confidenciales.

Las repercusiones de este fallo son todavía desconocidas, pero este pudo causar el robo de datos sensibles en varios sitios web. ¿Qué servicios son potencialmente afectados por este fallo? ¿Qué acciones deben tomar los usuarios para protegerse de las eventuales consecuencias de HeartBleed?


¿Qué es el fallo HeartBleed?

HeartBleed es un importante error de software que afecta la biblioteca open source de cifrado OpenSSL, utilizada para administrar el intercambio de datos entre un ordenador y un servidor. La extensión del protocolo de seguridad de los intercambios SSL/TSL, llamada "Heartbeat" y que ha sido particularmente afectada por este fallo, es puesta en ejecución cuando dos servidores están a punto de emprender un intercambio cifrado (en teoría, seguro).

El término HeartBleed ("corazón que sangra") ha sido escogido para designar este fallo.

El fallo HeartBleed impacta a todos los sitios web, las aplicaciones móviles y los equipos en red que utilizan OpenSSL en su versión 1.0.1 y 1.0.1f.

Lo que no es HeartBleed

HeartBleed es un error de codificación y no es ni un virus ni malware.

¿Cuándo fue descubierto el fallo?

El bug HeartBleed fue descubierto en abril de 2014 por la sociedad de seguridad Codenomicon Defensics. El fallo está presente en las versiones de los softwares OpenSSL lanzadas desde marzo de 2012.

¿Cuáles son los riesgos ligados a HeartBleed para los internautas?

Según los expertos de seguridad informática que lo descubrieron, el fallo HeartBleed permite a los piratas informáticos obtener o interceptar datos sin dejar rastro, como por ejemplo:
  • El contenido de la memoria de un servidor, incluidos los mensajes seguros, las transacciones bancarias, las informaciones de conexión del cliente (nombre de usuario y contraseña) o incluso los documentos confidenciales.
  • Las claves secretas de los certificados electrónicos de seguridad, utilizados para encriptar los datos transferidos en Internet.

Antes de que los correctivos fuesen aportados por los fabricantes de servidores web o los sitios web afectados, los piratas pudieron potencialmente obtener numerosas informaciones sensibles durante aproximadamente dos años.

El impacto del fallo

La biblioteca OpenSSL es utilizada masivamente en Internet para permitir la transferencia segura de datos, principalmente a través de los servidores web Apache y Nginx, que representan la mayoría de los servidores web del mercado.

Sin embargo, no todos fueron afectados por este fallo.

Ciertos expertos de seguridad informática estiman que el 17 % de los servidores web considerados como "seguros" en el mundo (cerca de medio millón de servidores SSL) ya habían sido afectados por este bug al momento de ser descubierto.

Correctivos

Desde el descubrimiento del fallo, los fabricantes de servidores han comenzado a emitir actualizaciones, tanto de equipo como de software, para los servidores afectados por el bug HeartBleed.

Varios sitios afectados por el fallo dicen haber implementado también un correctivo.

Principales sitios web y servicios afectados por HeartBleed

Entre los sitios públicos afectados por el fallo HeartBleed que dicen haber aplicado un parche de seguridad se encuentran:
Lista actualizada al 15 de abril de 2014
  • Facebook
  • Google: Gmail, YouTube, Wallet, Google Play, Apps y App Engine
  • Yahoo: Yahoo Mail, Flickr y Tumblr
  • Airbnb
  • Netflix
  • Dropbox
  • Instagram
  • Twitter
  • Pinterest
  • Amazon Web Services
  • SoundCloud
  • LastPass


Varios sitios de comercio electrónico han sido también afectados por HeartBleed.
  • El 15 de abril de 2014, BlackBerry anunció que un correctivo estaba en proceso de desarrollo para su servicio Secure Work Space para iOS y Android, utilizado para separar contenidos profesionales y personales en el móvil y proteger la flota de smartphones en una empresa.

Sitios que no han sido afectados por este fallo

Los sitios que no han sido afectados por este fallo son los que no utilizaban la versión OpenSSL en cuestión o que simplemente no usaban el software afectado por el fallo.

Algunos de estos sitios o proveedores de servicio en línea son:
  • LinkedIn
  • Apple
  • Amazon
  • Microsoft, Hotmail/Outlook
  • eBay
  • Groupon
  • PayPal
  • Evernote
  • 1Password

Algunas recomendaciones para los usuarios

Evaluar si un sitio es vulnerable al fallo HeartBleed

  • Una página especial permite evaluar la vulnerabilidad de un sitio al fallo HeartBleed. Basta ingresar el URL en esta página: Filippo.io. El sitio LastPass HeartBleed Checker también permite verificar si un sitio ha sido afectado.
  • Algunas extensiones para Chrome y Firefox también permiten saber si un sitio web en específico ha sido afectado por este bug de seguridad.

Vigilar atentamente tus estados de cuenta

Ciertos sitios de comercio electrónico pueden haber sido víctimas de ataques y haber sufrido el robo de datos sensibles que permitirían a los piratas informáticos obtener números y contraseñas de las tarjetas bancarias.

Ciertos expertos de seguridad informática recomiendan vigilar atentamente los estados de las transacciones efectuadas anteriormente con las tarjetas bancarias, sobre todo si se han utilizado en compras en línea.

Desconfiar de ataques por phishing debido a HeartBleed

El fallo HeartBleed podría aumentar los ataques de phishing realizados por e-mail. Los piratas invitan a los internautas a renovar su contraseña en ciertos servicios en línea (redes sociales, servicios bancarios, etc.) dirigiéndolos hacia páginas web falsas con el fin de robar sus datos de identificación en estos servicios.

Cambiar de contraseñas

Es recomendable cambiar de contraseña. Esta operación debe ser realizada después de que los sitios web afectados hayan aportado los correctivos necesarios.

Dado que el fallo HeartBleed pudo ser explotado durante un lapso de por lo menos dos años, un gran número de servicios pudo haber sido afectado.

Consulta también :
El documento «El fallo HeartBleed: Sitios web afectados y consejos para protegerse» de CCM (es.ccm.net) se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo siempre y cuando respetes las condiciones de dicha licencia y des crédito a CCM.