La Vulnerabilidad Heartbleed llamada así porque afecta a una extensión SSL de software que los programadores llaman Heartbeat, se encuentra especificada en el RFC 6520 nos recuerda aquel dicho “el único sistema seguro es aquel que está apagado y desconectado de internet”, por ser OpenSSL, uno de los paquetes de cifrado más usados de Internet, expone a las comunicaciones más privadas y confiables de los usuarios como sus correos electrónicos, transacciones bancarias, teléfonos inteligentes, routers caseros, tabletas, laptops entre otras a un gran riesgo. “Es como si fuera un enorme reseteo de Internet”, sostuvo Steve Sundermeier, fundador de Thirtyseven4.com, compañía de seguridad de Ohio. “Es muy alarmante. Los usuarios que pensaban que estaban haciendo lo correcto, ahora no se encuentran seguros. Todos se encuentran confundidos en cuanto a quienes realmente fueron afectados o se encuentran vulnerables”.
Empresas como Google, Facebook e Yahoo admitieron haber sido
vulnerable, aunque actualmente su software ha sido parchado y los sitios son seguros, en cambio Twitter reportó que no se había visto afectado.
Las recomendaciones de los expertos en seguridad son:
1. Comenzar
a cambiar las contraseñas que utilizamos para conectarnos a cada cuenta en
internet que poseamos, que la misma sea robusta y única, usando al menos de
seis a ocho caracteres, entre números y símbolos, debido a que es una mala práctica
de los usuarios usar la misma contraseña para varias cuentas. Por ejemplo, es
usual encontrarse que la misma contraseña que utilizamos para ingresar a nuestra cuenta
de Facebook es la misma del correo de la compañía o nuestro sitio de banca en línea.
2. Revisar
los sitios a los cuales nos conectamos, hay disponibles varias herramientas,
incluyendo la prueba Qualy (https://www.ssllabs.com/ssltest/) y El navegador
Chrome también tiene un plugin diseñado para alertar a los usuarios si intentan
ir a un sitio vulnerable.
3. Las
empresas deberían auditar inmediatamente sus sistemas para saber si alguno
necesita ser parchado, y revisar si los sistemas que tratan con las contraseñas
de los empleados son vulnerables ya que usan Open SSL y enfocarse primordialmente empleados remotos que establecen conexiones a través de VPN.
0 comentarios:
Publicar un comentario