«HeartBleed»: Defecto de encriptado de información atenta contra seguridad de cibernautas

Heartbleed

Logo de Heartbleed. Foto del usuario de Flickr theglobalpanorama. CC BY-SA 2.0.

El día 7 de abril de 2014 OpenSSL [en] hizo pública la noticia sobre la vulnerabilidad [en] llamada Heartbleed. La noticia causó revuelo en el mundo de la tecnología después de saberse el anuncio. La vulnerabilidad en el software de OpenSSL fue descubierta por Neel Mehta y su correción estuvo a cargo de Adam Langley y Bodo Moeller.

El Heartbleed bug [en] es una vulnerabilidad encontrada en algunas versiones de las librerías criptográficas del software OpenSSL. Estas librerías se encargan de manejar la seguridad de sitios web gigantes. En resumen, una vulnerabilidad encontrada en alguna parte del software (la muy mencionada extensión «heartbeat», que permite una conexión segura con los servidores donde se albergan los sitios web) permite a hackers leer y capturar datos que se encuentran almacenados en las memorias de estos sistemas. Esta falla tiene el potencial de ser una de las más grandes vulnerabilidades de rápida expansión en la historia moderna de internet. La vulnerabilidad está presente en las versiones de OpenSSL 1.0.1 hasta 1.0.1f (y no en otras versiones de OpenSSL).

En el sitio web Schneier on security, Bruce Schneier [en] dice:

Catastrófico es la palabra correcta. En una escala de 1 al 10, esto es un 11.

Por su parte, Matthew Green [en] escribe en su blog

El problema es bastante fácil de entender: hay una pequeña vulnerabilidad (simples límites que faltaron comprobarse) en el código que maneja los mensajes TLS «Heartbeat». Abusando de este mecanismo, un atacante puede solicitar información a un servidor que se encuentre ejecutando TLS en una porción relativamente gran (hasta 64KB) de su espacio en la memoria privada.

En la raíz de HeartBleed está el cifrado de la información. Haciendo una analogía, el cifrado es como un lenguaje secreto entre dos personas. Internet funciona utilizando ciertos protocolos de seguridad y encriptado conocido comúnmente como Sockets Security Layers (SSL) y luego Transport Security Layer (TSL) [en]. SSL y TLS son un conjunto de herramientas de código abierto conocido como SSL abierto. Se le conoce también como Open SSL y trabaja en el 66% de la red como protocolo de encriptado para mantener la información de los cibernautas protegida de malos usos.

 ¿En qué consiste esta vulnerabilidad?

El mecanismo TLS Heartbeat está diseñado para mantener vivas las conexiones incluso cuando no se están transmitiendo datos. Los mensajes de latido enviados por un par contienen datos aleatorios y una longitud de carga útil. El otro par se supone que debe responder con un espejo de exactamente los mismos datos

Entonces, ¿qué ocurre si Open SSL tiene una falla? Ocurre que esas llaves secretas que se comparten con el servidor de pronto son accesibles para cualquiera. Esto quiere decir que es mucha la información que está a disposición de cualquier persona y es probable que los usuarios jamás sepan que otros tienen acceso a la información.

La peor parte de esta falla existe desde diciembre de 2011 y muchos de los paquetes de software empezaron a utilizar la versión vulnerable Open SSL desde el 8 de mayo de 2012. Es decir que durante dos años, cualquier sitio web, aplicación, bancos y servicios de mensajería instántanea que utilizan los protocolos de seguridad SSL fueron vulnerables.

La falla es técnicamente complicada de reparar y no es suficiente que los profesionales de las tecnologías de la información utilicen el parche en copias de Open SSL que están utilizando sus aparatos, aplicaciones o sitios web.

Para evitar ser víctimas de esta falla en los protocolos de encriptado que se utilizan en internet, en primer lugar se debe revisar que los proveedores hayan actualizado el parche Heartbleed. Después se debe cambiar las contraseñas.

El sentimiento de alerta sigue vigente

Mashable [en] presenta una lista de los sitios web que están sometidos a la vulnerabilidad de Heartbleed y se recomienda tomar acción en el cambio de nuestras contraseñas.

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.