Esto es lo que debe saber sobre el fallo de seguridad

'HeartBleed'

Por: REDACCIÓN TECNOLOGÍA | 6:57 p.m. | 10 de Abril del 2014

No es un virus. No se saben sus alcances. Ya hay una cura al problema.

Investigadores de Google y de la empresa de seguridad Codenomicon detectaron

un fallo que, según expertos, es el más grave que se ha presentado en los últimos

años en el estándar OpenSSL, un conjunto de herramientas gratuitas utilizadas

para navegar de forma segura por la web, el cual restringe el acceso de terceros a

los datos personales de otros usuarios, como sus correos electrónicos,

contraseñas, entre otros. Se creó una página enfocada en la resolución de este

problema:https://heartbleed.com/

Tenga en cuenta: el servidor es un equipo donde se almacenan datos, páginas

web, aplicaciones, servicios. Información como los correos de Outlook o Gmail se

almacenan en un servidor.

EL TIEMPO habló con Juan Pablo Páez Sánchez, gerente de prevente de McAfee,

y con Joaquín Rodríguez, vocero para Latinoamérica de firma de

seguridad informática ESET, para resolver las principales dudas referentes a este

error informático. Estas son las conclusiones de los expertos:

¿En qué consiste este error?

‘HeartBleed’ es un error que, en esencia, permite extraer información de los

servidores mediante una brecha. Es como si alguien, de repente, pudiera escuchar

nuestras conversaciones telefónicas privadas. El cibercriminal puede entrometerse

en el diálogo entre el PC del usuario y el servidor. La vulnerabilidad existe por un

error de programación en el estándar OpenSSL.

¿Por qué es peligroso?

Porque el estándar OpenSSL es usado de forma masiva para generar

comunicaciones seguras entre el usuario y el servidor. Ahora se descubrió que no

era invulnerable. Imagine que la comunicación va por un túnel. Hay una suerte de

gotera que ayuda a que se filtren piezas de información privada.

¿Qué tipo de información se puede extraer de los servidores?

Contraseñas, nombres de usuarios, mensajes instantáneos, correos e información

crítica de negocios, números de tarjeta de crédito, entre otros.

¿Por qué se llama HeartBleed?

Existe un mecanismo que usan los PC de los usuarios y los servidores para saber

si la conexión está funcionando: una suerte de latido (paquete de información) que

va de los computadores de los usuarios a los servidores y viceversa. En inglés

sería un ‘Heartbeat Command’. Puede tratarse de una palabra de 5 bytes (como

‘hola’). En una versión OpenSSL sin el error, el servidor recibe la palabra de 5

bytes y se asegura de devolver la misma palabra de 5 bytes. De ese modo, ambas

partes de la comunicación reconocen su existencia, como el saludo en una

llamada.

Ocurre que debido al error de OpenSSL el PC le envía un saludo al servidor y este

no solo le devuelve el saludo al usuario sino que le brinda información adicional y

no revisa si eso es correcto. Si debía devolver 5 bytes, puede terminar retornando

hasta 64.000. ¿De dónde saldrían esos 63.955 bytes adicionales? De lo que el

servidor esté leyendo en ese momento en su memoria. Como si aparte del saludo,

dijera una serie de pensamientos en voz alta, entre los cuales se pueden incluir

detalles privados.

¿A quiénes afecta?

A todos los servidores que continúen usando la versiones de la OpenSSL 1.0.1 a

la 1.0.1f. No son vulnerables la OpenSSL 1.0.1g, la 1.0.0 y la 0.9.8.El ‘bug’ ha

estado presente en servidores desde el 14 de mayo de 2012. Algunos sistemas

operativos que incorporan OpenSSL han sido presentados al mercado con esta

falencia en los últimos dos años.

¿Se puede arreglar el estándar OpenSSL?

Sí, el error ya fue resuelto en la última versión de OpenSSL, la 1.0.1g lanzada el 7

de abril de 2014. La puede descargar de aquí.

¿Se puede detectar un ataque que aproveche 'HeartBleed'?

No es fácil, el error permite que se extraiga información del servidor sin que se

deje rastro alguno. Tampoco se sabe con certeza qué tanto provecho de ha

sacado de la vulnerabilidad en los últimos dos años.

¿Qué pueden hacer los usuarios?

Algunos expertos han recomendado cambiar contraseñas de los principales

servicios que habrían resultado afectados (entre los que se encuentran Dropbox,

Twitter, Tumblr, DuckDuckGo, Github, y los proveedores de hosting de Amazon y

Herok según el portal Netcraft). Sin embargo, al tratarse de un error que afecta al

canal de comunicación y no solo a la puerta de acceso, sería insuficiente. La

principal responsabilidad recae en las empresas que deben actualizar el estándar

OpenSSL.

¿Cualquier sitio con este error será hackeado?

No, la existencia de la brecha HeartBleed solo implica que existe una ventana, una

gotera. No supone, en sí misma, que el sitio será vulnerado, pero se encuentra en

riesgo.

¿Aún existe la brecha de seguridad?

Según Páez, sí, hay empresas que todavía no han implementado mejoras. "No es

sencillo, para actualizar los sistemas implica ceses de servicio, por ejemplo".

¿Cómo saber si su servidor es vulnerable?

Si quiere saber si la versión OpenSSL que utiliza una página en línea específica

es vulnerable frente a esta amenaza, puede realizarle un ‘Heartbleed test’ en esta

dirección: www.filippo.io/Heartbleed/

ÉDGAR L. MEDINA

REDACCIÓN TECNOLOGÍA

Fuente: http://www.eltiempo.com/tecnologia/internet/que-es-heartbleed_13815858-

4