Una de las mayores vulnerabilidades en la tecnología de encriptación está afectando a servidores de todo el mundo. Heartbleed fue descubierta en marzo de 2012 pero esta semana está afectando a toda la Internet.
Se dice que dos tercios de los servidores web, incluyendo a los de Google, Facebook, Yahoo, Amazon y demás, están teniendo problemas con la encoriación OpenSSL. Con esta falla los criminales cibernéticos podrán acceder a tus datos (contraseñas, correos, números de tarjeta y más).
Ahora sí será necesario cambiar la contraseña de los sitios que más visitas, por lo que si te llega un correo electrónico –comprueba que sea legal– pidiéndote que restablezcas tu contraseña deberás hacerlo, pero si por alguna razón aún no te lo piden no lo hagas pues el sitio y la nueva contraseña aún están en riesgo.
La falla CVE-2014-0160 fue descubierta por Neel Mehta de Google Security y por la compañía de seguridad independiente, Codenomicon. Para proteger los datos de sus usuarios y las claves de encriptación, los sitios afectados deben actualizar la versión de OpenSSL, revocar certificados SSL otorgados y emitir nuevos. Por lo que si vistas un sitio con HTTPS es probable que te avise del cambio.
¿Qué versiones de OpenSSL están afectadas?
OpenSSL 1.0.1 through 1.0.1f es vulnerable
OpenSSL 1.0.1g NO es vulnerable
OpenSSL 1.0.0 NO es vulnerable
OpenSSL 0.9.8 NO es vulnerable
La falla se introdujo en OpenSSL durante el mes de diciembre del 2011 y desde entonces está presente en la rama de OpenSSL 1.0.1 que se liberó el 14 de marzo de 2012. OpenSSL 1.0.1g que fue lanzado el 7 de abril de este año, corrige el error.
También afecta a sistemas operativos:
Debian Wheezy (estable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 mayo 2012) y 5.4 (OpenSSL 1.0.1c 10 mayo 2012)
FreeBSD 10.0 – (OpenSSL 1.0.1e 11 febrero 2013)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Los sistemas que no son vulnerables:
Debian Squeeze, OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 – OpenSSL 0.9.8y 5 febrero 2013
FreeBSD 9.2 – OpenSSL 0.9.8y 5 febrero 2013
FreeBSD Ports – OpenSSL 1.0.1g (7 abril 21:46:40 2014 UTC)
Lo que deberás hacer es salirte o cerrar la sesión de los sitios (redes sociales, bancos, correos y demás) que ocupas todos los días. Como ya mencioné, no cambies la contraseña pues aún está en riesgo, así que espera a que lo pidan.
De acuerdo con la agencia EFE tanto Google, Twitter, Facebook, YouTube, WordPress, Blogspot, Amazon como Pinterest ya repararon la falla. Mientras que la empresa Passomatic comunicó que sus clientes: Netflix, Instagram, Wikipedia, Expedia, eBay, Hulu, Reddit y Yelp ya lo han cambiado.
Desde el sitio dedicado a Heartbleed podrás conocer más sobre la falla CVE-2014-0160.