Los mil sitios web más importantes han sido parchados para proteger sus servidores contra el exploit Heartbleed, pero hasta un 2% del millón de sitios más importantes de la Red eran aún vulnerables hasta la semana pasada, de acuerdo a una firma de seguridad de California.

El jueves, Sucuri Security, una firma de California, revisó el primer millón de sitios más importantes de la red de acuerdo a Alexa Internet, una empresa subsidiaria de Amazon que recoge datos de tráfico de la Red.

De los primeros mil sitios de Alexa, todos o eran inmunes o habían sido parchados con las más recientes librerías OpenSSL, confirmó Daniel Cid, chief technology officer de Sucuri, en un mensaje de correo el domingo.

Heartbleed, el sobrenombre de la falla en OpenSSL, una librería criptográfica de código abierto que permite el cifrado SSL (Secure Sockets Layer) o TLS (Transport Security Layer), fue descubierto independientemente por Neel Mehta, ingeniero de seguridad de Google, e investigadores de la firma de seguridad Codenomicon a inicios de este mes.

El bug fue introducido en OpenSSL a finales del 2011.

Debido al amplio uso de OpenSSL en los sitios web -muchos se basaban en ella para cifrar el tráfico entre sus servidores y los clientes- y la naturaleza muy furtiva del exploit, los expertos en seguridad se encontraban preocupados de que los cibercriminales tuvieran o hubieran capturado nombres de usuario, contraseñas e incluso llaves de cifrado usadas por los servidores del sitio.

El proyecto OpenSSL emitió un parche para el bug el 7 de abril, con lo cual se inició una carrera para parchar el software de los servidores y en algunos sistemas operativos clientes.

La gran mayoría de los servidores vulnerables han sido parchados al 17 de abril, sostuvo Sucuri en una entrada ese día.

Aunque todos los mil servidores más importantes de acuerdo a Alexa eran inmunes al exploit para entonces, a medida que Sucuri bajaba en la lista y revisaba sitios más pequeños, encontró un creciente número de sitios aún vulnerables. De los 10 mil primeros, el 0,53% eran vulnerables, como lo eran el 1,5% de los 100 mil más importantes y el 2% del primer millón.

Otras revisiones encontraron porcentajes similares de sitios web abiertos al ataque: El viernes, Websense afirmó que alrededor del 1,6% de los primeros 50 mil sitios, de acuerdo a Alexa, seguían siendo vulnerables.

Ya que es posible que las llaves de cifrado de algunos sitios hayan quedado comprometidas, los expertos en seguridad urgieron a los propietarios de los sitios web a obtener los nuevos certificados y llaves SSL, y aconsejaron a los usuarios a ser cuidadosos al navegar por sitios que no lo hayan hecho.

La revisión de Sucuri no examinó los sitios para ver si habían vuelto a emitir nuevos certificados, pero Cid indicó que en otra revisión de la web, quizás esta semana, sí lo haría. “Apuesto a que los resultados serán mucho peores”, indicó Cid.

Varias herramientas en línea se encuentran disponibles para detectar los sitios vulnerables a Heartbleed, incluyendo una publicada por la proveedora de seguridad Qualys.

-Gregg Keizer, Computerworld