En las últimas horas se ha dado a conocer una falla de seguridad en OpenSSL que cobró mucha relevancia, al dejar al descubierto información sensible de diversos sitios. En este post, te contamos todo acerca de Heartbleed.
¿Qué sucede exactamente?
Una falla en algunas versiones del software gratuito OpenSSL, que muchos sitios utilizan para cifrar y transmitir información de forma segura, podría permitir que la seguridad de los mismos sea vulnerada. Se trata de una vulnerabilidad (CVE-2014-0160) llamada Heartbleed, que fue descubierta por ingenieros de la firma de seguridad Codenomicon en conjunto con un investigador de Google. Afecta a una funcionalidad de OpenSSL llamada Heartbeat, y de ahí proviene su nombre.
¿En qué consiste la falla?
La vulnerabilidad permite que, de forma remota, un atacante pueda leer 64 KB de información en la memoria del servicio vulnerable, pudiendo tener acceso a cualquier información crítica allí alojada, como ser credenciales del sistema, tokens, certificados, etc.
A su vez, si un usuario accede a un sitio vulnerable y un atacante se encuentra dentro de la misma red, este podría realizar un ataque llamado Man In The Middle (MITM). Así, podría leer información confidencial como credenciales o cookies de sesión que le permitirían suplantar al usuario dentro de dicho sitio.
En el siguiente video explicamos el funcionamiento de Heartbleed en 3 minutos:
¿Quiénes fueron afectados?
Se ha nombrado a servicios populares como el correo de Yahoo, el banco de imágenes Flickr, Imgur, Eventbrite y la web de citas OkCupid. Otro afectado fue el gestor de contraseñas LastPass, aunque desde el servicio afirmaron que las múltiples capas de encriptación que ofrecen mantienen a salvo a sus usuarios.
Aquí podrán consultar una lista completa de los dominios conocidos que han quedado al descubierto en algún momento. Algunos de ellos ya son seguros otra vez, pero es complicado determinar el alcance de la fuga de información en cada caso.
¿Por qué tomó tanta dimensión?
Esto se debe principalmente a que los programas más populares de código abierto utilizados para montar servidores web, como Apache o Nginx, utilizan por defecto OpenSSL. Por lo tanto, el alcance de la falla podría ser tan grande como el alcance de dichos servidores (siempre y cuando utilicen versiones vulnerables de OpenSSL).
Una encuesta realizada por Netcraft este mes indica que el market share de ambos programas combinados (Apache y Nginx) representa aproximadamente el 66% de los sitios activos en Internet.
¿Qué puedes hacer?
Se recomienda que los usuarios de cualquiera de los sitios vulnerados por Heartbleed validen que el problema haya sido solucionado dentro de los mismos, y luego cambien las credenciales de acceso, solo de manera preventiva.
Además, hay un sitio en el cual se puede verificar si una página web es actualmente vulnerable a este ataque. Si bien el resultado no es 100% certero por la existencia de falsos positivos y falsos negativos, se podrá realizar un testeo rápido y sencillo.
En caso de que se gestione un sitio que utilice OpenSSL para cifrar las comunicaciones, se recomienda validar si su versión es vulnerable en primer lugar:
- OpenSSL 1.0.1 a 1.0.1f (inclusive) son vulnerables
- OpenSSL 1.0.1g NO es vulnerable (última versión estable)
- OpenSSL 1.0.0 NO es vulnerable
- OpenSSL 0.9.8 NO es vulnerable
Si se está utilizando una versión vulnerable se la deberá actualizar, preferentemente a la versión 1.0.1g, y cambiar las credenciales y certificados del sitio. Se recomienda también informar a los usuarios o clientes, en caso de existir, que es recomendable que cambien sus credenciales solo por prevención.