La amenaza Heartbleed ha afectado a alrededor de dos terceras partes de los sitios web del mundo
Eso significa que todos deberíamos tomar medidas para protegernos, comenzando con la actualización de contraseñas de los sitios en línea importantes.
“Es como si fuera un enorme reseteo de Internet”, sostuvo Steve Sundermeier, fundador de Thirtyseven4.com, compañía de seguridad de Ohio. “Es muy alarmante. Los usuarios que pensaban que estaban haciendo lo correcto, ahora no se encuentran seguros. Todos se encuentran confundidos en cuanto a quienes realmente fueron afectados o se encuentran vulnerables”.
Los expertos en seguridad aún se encuentran evaluando cuánto daño se ha causado, o puede ser causado, por la falla Heartbleed.
La vulnerabilidad existía en OpenSSL, uno de los paquetes de cifrado más usados de Internet, por casi dos años. No queda claro si los cibercriminales descubrieron el bug, que expone a las comunicaciones más privadas y confiables de los usuarios (correos electrónicos, transacciones bancarias, números de tarjeta de crédito e historias médicas) a gran riesgo.
Cuando los usuarios ven el pequeño ícono de candado en una esquina de su pantalla, generalmente piensan que sus comunicaciones se encuentran, seguras ya que generalmente se encuentran protegidas por el cifrado SSL. Pero en los últimos dos años, ese no fue el caso.
Heartbleed, llamado así porque afecta a una extensión SSL de software que los programadores llaman Heartbeat, afecta a una cifra entre medio millón a mil millones de sitios web, dependiendo de con cuál analista de seguridad hable uno. Y no solo se ha afectado a sitios web.
Steve Pate, arquitecto en jefe de HyTrust Inc., empresa de seguridad y cumplimiento de California, notó que la vulnerabilidad también ha afectado a varios tipos de dispositivos, que van desde los teléfonos inteligentes hasta los ruteadores caseros, tabletas y laptops.
Muchos de esos dispositivos vienen con software instalado que usa Open SSL.
La preocupación mayor no es que el bug esté tan difundido, sino que afecta a la información que los usuarios protegen más.
“Open SSL es utilizado por muchos sitios”, indicó Chester Wisniewski, asesor senior en seguridad de Sophos, una empresa de seguridad de Reino Unido. “Es en lo que confiamos para nuestra privacidad y seguridad, por ello es lo último que uno desea ver vulnerable. ¿Qué afecta? Todo. Esto es realmente un problema”.
Han aparecido varias herramientas para ayudar a las personas a saber si su tienda en línea favorita, banco o red social es vulnerable, pero éstas tienden a solo notar si se encuentran actualmente vulnerables. Las herramientas dan pocos detalles sobre si el sitio fue vulnerable en el pasado.
Si un sitio fue vulnerable en algún momento, los nombres de usuario, contraseñas y otros tipos de información crítica podrían haber quedado comprometidos.
Google, que tiene los sitios web más visitados del mundo, dijo a Computerworld que había sido vulnerable, pero su software ha sido parchado y los sitios son seguros ahora.
Un vocero de Facebook, la red social más grande del mundo con más de mil millones de usuarios, también reconoció que se vio afectada por la vulnerabilidad, pero que ha reparado el problema. Yahoo, también afirmó que su plataforma fue vulnerable a Heartbleed, pero sostuvo ayer que había comenzado a trabajar para resolver el problema tan pronto como lo encontró.
“Agregamos protecciones para la implementación de OpenSSL en Facebook antes de que este problema fuera públicamente revelado, y seguimos monitoreando la situación de cerca”, indicó el portavoz. “No hemos detectado ningún signo de actividad sospechosa en las cuentas que sugiera una acción específica, pero animamos a las personas a aprovechar esta oportunidad para seguir las buenas prácticas y establecer una contraseña única para su cuenta en Facebook que no use en otros sitios”.
Twitter, una de las redes sociales y herramientas de comunicación más importantes, reportó que no se había visto afectada.
Entonces ¿qué tienen que hacer las compañías y las personas? El consejo de prácticamente todos los expertos en seguridad es comenzar a cambiar las contraseñas.
Si alguien ha comprado en línea, llenado un formulario, realizado alguna transacción bancaria o compartido información sobre su salud en línea, podría haber quedado vulnerable.
El mayor problema que muchas personas usan la misma contraseña para varias cuentas. Por ejemplo, podrían usar la misma contraseña para ingresar a su cuenta de Facebook y para su correo de la compañía o un sitio de banca en línea.
Eso significa que si un cibercriminal tiene la contraseña de alguien, podría usarla para acceder a varios sitios.
Cambie su contraseña para cada cuenta en línea. Y asegúrese que cada una de ellas sea fuerte y única, usando al menos de seis a ocho caracteres, números y símbolos.
“Las personas generalmente tienen una o dos contraseñas para todo, ya sea que se trate de una red social o banca en línea o identificarse en la red de la escuela de sus hijos”, indicó Sundermeier. “Recomiendo que todos comiencen a cambiar sus contraseñas. Nadie sabe la amplitud de lo que se ha robado. Es una buena práctica cambiar sus contraseñas cada seis meses. Este es un buen momento para implementar esta regla de oro para una computación segura”.
Wisniewski sostuvo que las personas deben revisar los sitios web que usan y asegurarse que han parchado las vulnerabilidades. Si han cambiado la contraseña antes que el sitio haya sido parchado, aún son vulnerables.
Para revisar los sitios, hay disponibles varias herramientas, incluyendo la prueba Heartbleed, o ésta de Qualy. El navegador Chrome también tiene un plugin diseñado para alertar a los usuarios si intentan ir a un sitio vulnerable.
Wisniewski aconsejó a las personas cambiar sus contraseñas para los 10 sitios web más críticos, como los sitios de banca, cuentas de tarjetas de crédito, cuentas de jubilación o retiro, Facebook y Twitter.
Debido a que la vulnerabilidad ha estado presente por un par de años, las personas deberían ser diligentes durante el próximo año, revisando su tarjeta de crédito y los estados bancarios en busca de actividades inusuales. También deberían monitorear la actividad de su correo electrónico para ver si han enviado spam a sus contactos, y también monitorear sus redes sociales en busca de entradas falsas.
Las empresas deberían auditar inmediatamente sus sistemas para saber si alguno necesita ser parchado, y revisar si los sistemas que tratan con las contraseñas de los empleados son vulnerables ya que usan Open SSL.
Las empresas también deberían decir a sus empleados que cambien sus contraseñas -tanto las relacionadas al trabajo como las personales-, y también asegurarse que cada contraseña es única. Y para asegurarse que los empleados realmente tomen las acciones, las empresas deberían forzar un cambio de contraseñas.
Probablemente las compañías deseen enfocarse primero en los empleados remotos que establecen conexiones a través de VPN.
Incluso si el propio sitio web de una empresa es seguro, los empleados deberían, de todas formas, cambiar sus contraseñas ya que podrían haber sido afectados al visitar otros sitios.
-Sharon Gaudin, Computerworld
