Heartbleed, el fallo informático que ha puesto en jaque a la Red

El fallo de seguridad bautizado como "The Heartbleed bug" ha podido comprometer la seguridad de los usuarios desde hace dos años. 

Un hombre navega con su ordenador preparado con tres pantallas de 37" en la Campus Party de Valencia.
Un hombre navega con su ordenador preparado con tres pantallas de 37" en la Campus Party de Valencia.

Lo han denominado The Heartbleed bug, el agujero del corazón desangrado, y con su sólo nombre da idea de su gravedad: ha atacado al corazón de Internet. Aunque, técnicamente, se ha bautizado así porque afecta a un tipo de intercambio de información web, el Heartbeat (latido de corazón).

El fallo de seguridad, comunicado el lunes, afecta a dos tercios de las páginas web debido a un grave error en el método de encriptación OpenSSL, un sistema de seguridad muy generalizado que permite a los webmaster, creadores de páginas web, proteger los datos que un usuario transmite a través de Internet. Es gratuito y se considera que es el sistema utilizado por dos tercios de los portales de todo el mundo. Por ello, puede haber puesto en serio riesgo un alto volumen de la información que circula por la Red. Comercio electrónico, tarjetas de crédito, correo y mensajería... se han visto seriamente comprometidos.

El fallo fue detectado la semana pasada por ingenieros de Google y de la empresa Codenomicon, encargada de ciberseguridad, y comunicado el lunes por los responsables de Open SSL. Con este error, cualquier hacker podía tener acceso a unidades de información privada y protegida en servidores que usasen el sistema Open SSL. De hecho, la vulnerabilidad podría haber afectado a unas 600 de las 10.000 páginas con más tráfico de la red.

"Tu red social, la página web de tu empresa, la de comercio electrónico, la de tus aficiones, la página desde la que instalas un software o incluso páginas gubernametnales podrían haber sido vulnerables a OpenSSL", se destaca en Heartbleed.com. Google, Facebook, Twitter, Pinterest, Amazon, Blogspot, Wordpress y Yahoo se apresuraban ayer a comunicar que han parcheado la seguridad, pero las webs siguen en proceso de actualización de software, lo que las hace todavía vulnerables.

Algunas, como la red social Tumblr, aseguraba ayer haber puesto medidas para subsanar el fallo, pero advertía que el candado (HTTPS)en "el que todos hemos confiado para mantener a salvo nuestras contraseñas, correos personales y tarjetas de créditos", en realidad ha estado haciendo quetoda esa información privada sea accesible para cualquier persona que sepa cómo acceder a ella".El candadoes el que aparece en el navegador cuando se entra en una determinada página de internet. Este símbolo indica que la conexión está cifrada mediante tecnología SSL que impide que una tercera persona tenga accesoa lo que se está viendo en esa web.Es en este método de protección, que se basa en certificados de veracidad que indican que la página que se está visitando corresponde, efectivamente, a la institución u organismo al que se refiere, donde seha detectado la brecha.

La red lanzaba un mensaje a sus usuarios, "Este puede ser un buen día para pediros que os toméis tiempo para cambiar vuestras contraseñas de donde sea, especialmente en servicios de alta seguridad como los correos electrónicos, servicios de almacenamiento de datos o entidades bancarias, que también podrían estar vulneradas por este error"

Por el momento, no se sabe si este agujero ha podido ser aprovechado por los hackers, aunque existe una gran dificultad para determinarlo, ya que estos actúan sin dejar pistas. Es decir, no podemos saber si nuestra información está en manos de otros con fines malintencionados. Por el momento, los administradores no han notado indicios de actividad pirata."En el top ten"

"Estamos ante un fallo que está en el top ten de los fallos de Internet. Google no ha acabo todavía de actualizar sus servidores. Estamos ante una cosa muy seria", advierte a este periódico Chema Alonso, uno de los mayores expertos mundiales en seguridad informática, y responsable de la empresaEleven Paths, creadora del sistema Latch para evitar el robo de cuentas en Internet. "Los administradores de sistemas tienen que actualizar los servidores lo antes posible. La seguridad no será cien por cien efectiva si no están coordinados"

Su recomendación es inmediata: que los administradores de sistemas cambien todas las claves. El mismo consejo para los usuarios. "Si es posible, se debe añadir también un segundo factor de autentificación. Durante este tiempo, las contraseñas han podido estar llevándose de sitios insospechados"

Un fallo de seguridad virtual puede comprometer nuestra vida real más de lo que creemos, "Cuando te roban tus datos personales, no es que alguien sepa como te llamas, es que puede registrar un teléfono móvil que puede ser utilizado en un atentado, que te suscriba al pago de facturas, que te meta en multitud de líos", afirma Alonso, "De hecho, las compañías de seguros tienen ya campañas contra el robo de identidad. Esto te puede traer verdaderos quebraderos de cabeza para el resto de tu vida... Como incluirte en listas de morosos, que no te permitan pedir hipotecas, que no te den de alta en compañías telefónicas".

Heartbleed lleva en activo desde 2011. Y no es el único riesgo que está poniendo en jaque a la Red. "Fallos de seguridad salen todos los días, todos los días descubrimos nuevas vulnerabilidades que no salen publicadas. Siempre hay un fallo de seguridad que va a aparecer mañana", advierte este experto. Alonso recuerda que, por ejemplo, a través de algo tan sencillo como una red Wi-Fi, el usuario se encuentra expuesto cada día a multitud de amenazas."Los bancos deberían haber informado a sus clientes"

"Esta vulnerabilidad se ha hecho pública porque ha tenido mucha repercusión, pero fallos salen todos los días. Lo que pasa que, esta vez, es muy global y eso la hace también muy grave", explica Yago Jesús, otro de los referentes de seguridad en Internet.Jesús lleva años colaborando con los equipos de grandes empresas de telecomunicaciones, sector bancario o defensa para rastrear los riesgos a los que se exponen en la Red. "Del uno al diez, este tiene una importancia del once", asegura, tomando como referencia los análisis de expertos internacionales. En concreto, el de Bruce Schneier, uno de los gurús de la criptografía en Internet.

"No he visto a ningún banco ni a ninguna organización española haciendo público estos días si eran vulnerables o no, y poniéndolo en conocimiento de sus clientes", lamenta."Me hubiese parecido correcto que hubiesen informado a sus clientes de que en todo este tiempo han sido vulnerables. En EEUU, sí se ha hecho. Nos llevan años de delantera"

Los sistemas de banca online de Banco Sabadell, Openbank y Caja 3, al menos, se habrían visto afectados, según ha señalado la asociación de Usuarios de Bancos, Cajas y Seguros, ADICAE, y todavía se encuentran en verificación. "Desde nuestro punto de vista, resulta alarmante que las entidades afectadasno hayan cancelado el acceso a sus serviciosde banca online en el mismo momento en el que han sido conscientes de ser víctimas de este fallo de seguridad", dicen en un comunicado.

Jesús comparte, con Chema Alonso, que el principal consejo es cambiar la contraseña, y confía en que los servicios más grandes ya han solucionado el problema. "La banca online la doy en un 89% ya segura, y también servicios como Gmail o Yahoo", afirma, "pero en otros servicios, como tiendas pequeñas, puede pasar tiempo hasta que se solucione".

El problema es que la información ha estado expuesta desde hace, al menos, dos años, "existen incluso teorías conspiranoicas de que este fallo era ya conocido por la NSA y similares, y que durante este tiempo ha podido ser utilizado de forma masiva".

También este experto advierte de los riesgos a los que el usuario se enfrenta cada día en la Red, y pide precaución, sobre todo, a la hora de descargar ciertas aplicaciones."Te pones a ver un partido de fútbol y de repente empiezan a bombardearte con anuncios trampa para que te descargues cosas que te permitirán verlo mejor. El usuario clica y se infecta. Y creo que esa es la principal amenaza, el poco cuidado que tenemos. En los teléfonos pasa lo mismo", dice Jesús, "Hace poco Google tuvo que tirar una de las aplicaciones con más descargas, un supuesto antivirus, porque era un programa malicioso. La gente lo había instalado masivamente""El Primer y Tercer Mundo digital"

"Ha habido un problema de descuidos", opina Benjamí Villoslada, creador, junto a Ricardo Galli, del popular sitio web Menéame. "Pero afortunadamente el modelo de software libre permite una actualización rápida". En su caso, el error fue solventado de inmediato, pero Villoslada recuerda que "el problema es cuánto se tarda en reaccionar, porque eso compromete la seguridad de los usuarios. La única solución aquí es que hay que tener un servicio de actualización de software adecuado, porque estas cosas están pasando constantemente".

"Los usuarios están muy protegidos siempre y cuando el administrador del lugar en el que estás confiando sea responsable. Y aquí tenemos dos niveles de empresas: las que están todo el día trabajando y las que hacen una web y la dejan tirada mucho tiempo, que no tienen contratado un servicio para estar al día", advierte Villoslada, "desgraciadamente, hay bastantes empresas que hacen una web, en su momento con una fuerte inversión, y no vuelven a preocuparse por ella. Existe también un Primer y un Tercer Mundo en lo digital"

Heartbleed, el fallo informático que ha puesto en jaque a la Red

Ahora en portada

Comentarios