Revista Tecnología

Que es Heartbleed y como protegerte

Publicado el 16 abril 2014 por Technodyan

heartbleed

Si te has mantenido al tanto de las noticias en la red es bastante probable que conozcas Heartbleed, el bug que esta causando revuelo por todo internet, y no es para menos, este fallo descubierto en las librerías SSL ha permitido que prácticamente cualquier persona tenga acceso a información confidencial de muchos servidores, como contraseñas e información cifrada; se ha dicho que Heartbleed es "uno de los más serios problemas de seguridad que han afectado a la red moderna", pero ¿qué es Heartbleed y cómo funciona?, ¿cómo puedes protegerte?, la respuesta a esta y otras preguntas aquí.

¿Qúe es Heartbleed y cómo funciona?

Heartbleed es un bug que afecta a las librerias SSL, que permite el robo de información cifrada mediante este protocolo. SSL es usado para cifrar información de e-mails, mensajería, contraseñas, y VPNs.
Heartbleed funciona engañando al servidor para que regrese más información de la que debería, dándole información mintiendo sobre el tamaño real de una solicitud, por ejemplo, si le digo al servidor que le estoy enviando 1000 bytes, pero en realidad le estoy enviando 1 byte, el servidor debería regresarme 1 byte, pero en su lugar me regresará los 1000 bytes. Puedes ver una explicación sencilla de Heartbleed en la siguiente historieta de XKCD:

heartbleed_explanation
- Servidor, si estas ahí responde “ave” (3 letras)
- “ave”
- Servidor si estás ahí, responde “sombrero” (500 letras)
- “sombrero, seguido de 500 letras de información que nadie nunca debería ver…”

Aunque muchos medios apunten a ello, Heartbleed no es un virus (ni ningún otro tipo de malware), por lo que tu antivirus no te protegerá en está ocasión, como ya expliqué, Heartbleed es un bug, es decir, un error de programación. Se estima que ha afectado al 66% de páginas web en todo internet.

¿Cómo protegerte de Heartbleed?

image

Ciertamente, al ser un fallo en los servidores de las páginas web y no uno que afecte tu equipo directamente, no hay mucho que puedas hacer. Las grandes compañías como Google, Facebook, Microsoft, Yahoo, etc., ya arreglaron el fallo, y la actualización de OpenSSL que corrige Heartbleed ya está lista y distribuyéndose, por lo que en poco tiempo Heartbleed debería desaparecer.
Se recomienda cambiar tus contraseñas, pero únicamente en los sitios web que ya han corregido la vulnerabilidad, pero ¿cómo saber si un sitio web sigue afectado por Heartbleed?, pues podemos comprobarlo el sitio web llamado Heartbleed Test, desarrollado por Filippo Varsolda, pero comprobar cada sitio web que visitamos es muy tedioso, por lo que también ha desarrollado dos extensiones para Firefox y Google Chrome: FoxBleed y ChromeBleed, que nos avisan si visitamos un sitio web que ha sido afectado por Heartbleed.

Mitos sobre Heartbleed

1.- Heartbleed es un virus

Heartbleed ha sido llamado virus por muchas personas y medios de comunicación, pero Heartbleed no es un virus, es decir, no es un programa que haya sido hecho para afectar las computadoras de las personas, sino un bug, es decir un error de programación que entrega un resultado no deseado, en este caso, entrega información que no debería.
Que Heartbleed sea un bug no lo hace menos peligroso que cualquier virus, tomando en cuenta que casi el 70% de las páginas web de todo el mundo fueron afectadas, es significativamente más peligroso.

2.- Heartbleed sólo afecta sitios web

Aunque Heartbleed afecta a los servidores web, no sólo las estos están en peligro, sino también el cliente que se comunica con ellos (por ejemplo, smartphones, PCs, laptops, etc.), están expuestos a lo que se le llama “Heartbleed inverso”, lo que significa que los datos del dispositivo están en riesgo, aunque mediante Heartbleed no se puede ganar control de todos los procesos del dispositivo, si se puede robar el contenido de e-mails, documentos e inicios de sesión.

3.- Los usuarios de Windows XP han quedado desprotegidos

Si bien, el soporte de Windows XP ha terminado, eso no quiere decir que estén desprotegidos contra Heartbleed, afortunadamente, Windows XP (y todas las versiones de Windows) no utiliza SSL, sino su propio sistema de cifrado llamado Secure Channel (SChannel), que no es susceptible al fallo de Heartbleed.

4.- Heartbleed está acabado

Aunque miles de páginas web ya hayan cambiado sus certificados y actualizado OpenSSL, no significa que Heartbleed haya acabado, aún quedan sitios web que no se han actualizado, pudiendo ser el caso de pequeñas empresas o simplemente sitios web que no se hayan enterado de Heartbleed.
Aún así, Heartbleed estuvo activo dos años, y no es posible saber que información fue robada ni a quien, por lo que cambiar contraseñas es lo más seguro que puedes hacer para protegerte.

Fuente parcial: Readwrite

Heartbleed es uno de los mayores problemas de seguridad que han azotado internet en mucho tiempo, y dejo prácticamente indefensos a los usuarios durante los dos años que estuvo activo sin saberlo, aunque poco podemos hacer ante estas situaciones, siempre es recomendable mantenerse informados sobre estos problemas, y actualizar nuestras contraseñas constantemente.


Volver a la Portada de Logo Paperblog