El bug Heartbleed de OpenSSL causa apuros en internet

Sponsored Links

Jose Andrade
April 10th, 2014
In this article: bug, hearbeat, heartbleed, openssl, problema, ssl, tls
El bug Heartbleed de OpenSSL causa apuros en internet
Un preocupante bug ha sido descubierto en el paquete de seguridad OpenSSL, y debido a que funciona aprovechando un problema del sistema conocido como "heartbeat" de TLS, ha sido bautizado como Heartbleed. Para explicarlo en términos que podamos entender el común de los geeks, basta con decir que la vulnerabilidad se basa en pedir a un servidor una respuesta de su "latido", con un paquete que dice tener 64 kilobytes, pero que en realidad incluye sólo un kilobyte. De esta manera, el servidor regresa 63 KB de su memoria, permitiendo que un hacker obtenga pedazos de información hasta conseguir detalles tan valiosos como nombres de usuarios, contraseñas y llaves de cifrado, sin dejar rastro de ningún tipo.

Por suerte el software ya cuenta con una actualización que soluciona el problema, y gigantes del internet como Google dicen ya haber parchado los servidores de sus principales servicios, como Gmail, Play, Search, Wallet y YouTube. Por su parte, Yahoo admitió que su equipo está tomando cartas en el asunto y ha pedido que los usuarios cambien las contraseñas de todos los servicios (todos, no sólo los de Yahoo). En realidad, aunque algunos han dicho que hasta dos tercios de servidores en internet podrían haber usado el OpenSSL 1.0.1f por un periodo de alrededor de dos años, los datos de Netcraft apuntan a un número de 17 por ciento (mucho menor, pero todavía muy grande si tomamos en cuenta el tamaño de la red).

Si deseas verificar si un sitio ha sido parchado con la versión 1.0.1g de OpenSSL (que no se usa en servidores IIS de Windows, vale aclarar), la gente de SSL LABS ofrece una herramienta para probar la vulnerabilidad. En todo caso, debe quedar claro que el bug no es tan común porque se encuentra en una extensión usada con UDP, que no ha sido implementada en todas las instalaciones de OpenSSL en Apache, Nginx y otros servicios que usen esta librería de código abierto, y por lo tanto, el alcance del problema podría ser mucho menor a lo que se podría imaginar. A pesar de eso, cambiar las contraseñas de manera regular es una práctica de seguridad muy valiosa.

Leer - Yahoo
Leer - Google
Leer - SSL LABS
Leer - ArsTechnica
Leer - Netcraft
All products recommended by Engadget are selected by our editorial team, independent of our parent company. Some of our stories include affiliate links. If you buy something through one of these links, we may earn an affiliate commission.
Popular on Engadget