Heartbleed

 

Es posible que lleves desde ayer oyendo hablar de Heartbleed  y todavía no tengas muy claro qué es y en qué te puede afectar.

Las comunicaciones de los principales servicios de Internet: correo web; redes sociales; banca online… van cifradas con el propósito de proteger los datos que intercambiamos (bancarios, contraseñas, etc..).  Algunos de estos servicios utilizan una librería OpenSSL, para el cifrado de las comunicaciones. Es en esta librería donde se ha encontrado el fallo de seguridad.

 

Qué es Heartbleed

La parte técnica del fallo sería algo así. En el módulo que permite reutilizar conexiones ya abiertas (conocido como ‘keep a live’), se ha encontrado un agujero de seguridad (bug) con el que, si se aprovecha maliciosamente, es posible obtener hasta 64K de la memoria de la máquina atacada… y repetidas veces.

A pesar de ello, todavía podemos decir que hay dos buenas noticias:

  1. La primera es que el atacante no puede elegir a qué parte de la memoria acceder. Aún así, es bastante probable obtener las contraseñas de todos nuestros servicios web que utilicen esta librería.
  2. La segunda es que ya existe una librería que corrige este bug.

 

Consejos frente a Heartbleed

De momento, como usuarios, hay pocas cosas que podemos hacer. Desde Panda Security os recomendamos:

  • Estar atentos a los principales servicios web que utilices, ya que avisarán cuando esté corregida esta vulnerabilidad en su sistema. Hasta ese momento, no es seguro hacer login en él.
  • En ese momento, actualizar la contraseña

¿Quieres saber cómo hacer tus contraseñas más seguras?

 

Nota: Muchas gracias a nuestro compañero Luis Fernando Regel y Josu Franco por explicarnos en qué consiste Heartbleed y cómo podemos hacerle frente 😉