El fallo Heartbleed se cobra sus primeras víctimas

  • 15 abril 2014

De ser una amenaza, el fallo de internet conocido como Heartbleed ya pasó a hacer daños visibles.

La agencia de recaudación de impuestos de Canadá es el primer afectado oficial por el fallo, luego de anunciar el lunes que piratas informáticos que explotaron el error robaron datos privados de unas 900 personas. Los expertos en seguridad advierten que probablemente los ataques seguirán.

El fallo fue llamado Heartbleed, "corazón sangrante".

El error les permitió a los hackers extraer números del seguro social que se utilizan para el empleo y el acceso a beneficios del gobierno, y posiblemente algunos otros datos.

El organismo parece ser el primero en informar que fue la víctima de un ataque provocado por una falla en el software conocido como OpenSSL, que utilizan cerca de dos tercios de los sitios web para asegurar los datos que viajan a través de internet.

La noticia del ataque en Canadá se produjo después de que las autoridades en Washington advirtieran a los bancos el viernes que estén alertas ante los hackers que buscan robar datos expuestos por el error.

Más tarde el lunes, el sitio web para padres Mumsnet, que tiene más de 60 millones de visitas al mes, les pidió a su millón y medio de usuarios que cambiaran sus contraseñas después de una falla relacionada con Heartbleed.

La fundadora de Mumsnet, Justine Roberts, le dijo a la BBC que se hizo evidente que sus datos estaban en riesgo cuando vio que habían utilizado su propio nombre y contraseña para escribir un mensaje.

Internet más lenta

La lucha por solucionar los problemas causados por el fallo Heartbleed y revisar todos los códigos puede ralentizar la velocidad de navegación, advierte la firma de análisis Netcraft.

Las empresas de internet, proveedores de tecnología, empresas y gobiernos intentan averiguar si sus sistemas siguen vulnerables a los ataques una semana después de que se anunciara el error.

Millones de dispositivos Android siguen siendo vulnerables al error. Google anunció la semana pasada que los teléfonos y tabletas que ejecutan la versión 4.1.1 de su sistema operativo móvil estaban en riesgo.

El gigante de búsquedaas ha creado ya una solución, pero todavía tiene que aplicarla a muchos de los dispositivos que no pueden ejecutar las versiones más nuevas del sistema operativo. Esto potencialmente pone a los usuarios en riesgo de que les roben datos confidenciales.

Además, las empresas de seguridad advierten que todavía tienen que arreglar cientos de aplicaciones disponibles a través de múltiples plataformas. Éstos incluyen el software de mensajería BBM de Blackberry para iOS y Android.

Andy Ellis, director de tecnología de la empresa Akamai Technologies, dijo que no se sorprendió al escuchar sobre el ataque a la agencia canadiense porque ya hay varias "cajas de herramientas" disponibles en internet que los piratas informáticos pueden utilizar para lanzar ataques contra sitios vulnerables.

"Esperamos empezar a ver los ataques esta semana", dijo Ellis.

Lentitud
Advierten que internet podrá estar más lenta en los próximos días.

¿Qué hacer?

Como ya hemos dicho en BBC Mundo, lo correcto es cambiar las contraseñas de los sitios una vez que nos hayamos asegurado de que éstos arreglaron el error, en caso de que los hubiera afectado.

Los sitios más grandes y serios que usan Open SSL –Facebook, Twitter, Gmail- ya lo han hecho, así que lo prudente es cambiar las claves. Aunque ya purgaron la amenaza, por precaución y "buenas prácticas" recomiendan cambiar las claves.

Es engorroso, especialmente cuando son decenas las cuentas que tenemos. Pero mejor prevenir que curar.

Por otra parte, no es necesario cambiar las claves de nuestras cuentas en servicios que no usan Open SSL ya que no fueron afectados.

Algunas de las páginas que informaron que no usan ese código son Apple, Ebay, PayPal, Amazon, Hotmail/Outlook y AOL.

Ante la duda, hay varios sitios a los que se puede acudir.

Por ejemplo "Have I Been Pwned" (link) permite que ingresemos nuestra dirección de email y nos dice si el sitio está en peligro o no. Otra, “Should I change my password?” (link) ofrece un servicio similar.

Síguenos en Twitter: @un_mundo_feliz

Contenido relacionado