Latest in Bug

Image credit:

El bug Heartbleed de OpenSSL causa apuros en internet

Jose Andrade, @jandrade
April 9, 2014
Share
Tweet
Share

Sponsored Links

Un preocupante bug ha sido descubierto en el paquete de seguridad OpenSSL, y debido a que funciona aprovechando un problema del sistema conocido como "heartbeat" de TLS, ha sido bautizado como Heartbleed. Para explicarlo en términos que podamos entender el común de los geeks, basta con decir que la vulnerabilidad se basa en pedir a un servidor una respuesta de su "latido", con un paquete que dice tener 64 kilobytes, pero que en realidad incluye sólo un kilobyte. De esta manera, el servidor regresa 63 KB de su memoria, permitiendo que un hacker obtenga pedazos de información hasta conseguir detalles tan valiosos como nombres de usuarios, contraseñas y llaves de cifrado, sin dejar rastro de ningún tipo.



Por suerte el software ya cuenta con una actualización que soluciona el problema, y gigantes del internet como Google dicen ya haber parchado los servidores de sus principales servicios, como Gmail, Play, Search, Wallet y YouTube. Por su parte, Yahoo admitió que su equipo está tomando cartas en el asunto y ha pedido que los usuarios cambien las contraseñas de todos los servicios (todos, no sólo los de Yahoo). En realidad, aunque algunos han dicho que hasta dos tercios de servidores en internet podrían haber usado el OpenSSL 1.0.1f por un periodo de alrededor de dos años, los datos de Netcraft apuntan a un número de 17 por ciento (mucho menor, pero todavía muy grande si tomamos en cuenta el tamaño de la red).

Si deseas verificar si un sitio ha sido parchado con la versión 1.0.1g de OpenSSL (que no se usa en servidores IIS de Windows, vale aclarar), la gente de SSL LABS ofrece una herramienta para probar la vulnerabilidad. En todo caso, debe quedar claro que el bug no es tan común porque se encuentra en una extensión usada con UDP, que no ha sido implementada en todas las instalaciones de OpenSSL en Apache, Nginx y otros servicios que usen esta librería de código abierto, y por lo tanto, el alcance del problema podría ser mucho menor a lo que se podría imaginar. A pesar de eso, cambiar las contraseñas de manera regular es una práctica de seguridad muy valiosa.

Leer - Yahoo
Leer - Google
Leer - SSL LABS
Leer - ArsTechnica
Leer - Netcraft









In this article: bug, hearbeat, heartbleed, openssl, problema, ssl, tls
All products recommended by Engadget are selected by our editorial team, independent of our parent company. Some of our stories include affiliate links. If you buy something through one of these links, we may earn an affiliate commission.
Share
Tweet
Share

Popular on Engadget

Engadget's 2020 Back-to-School Guide

Engadget's 2020 Back-to-School Guide

View
Space Force official logo and motto unveiled

Space Force official logo and motto unveiled

View
Our readers get real about their issues with the AirPods Pro

Our readers get real about their issues with the AirPods Pro

View
Microsoft's Surface Duo may launch with AT&T

Microsoft's Surface Duo may launch with AT&T

View
Nintendo 'gigaleak' reveals the classic games that never were

Nintendo 'gigaleak' reveals the classic games that never were

View

From around the web

Page 1Page 1ear iconeye iconFill 23text filevr