jueves, 10 de abril de 2014

¿Qué páginas web están infectadas con HeartBleed?

LastPass, una empresa que ha creado una aplicación para la creación y gestión de contraseñas, ha lanzado una herramienta que permite a los usuarios revisar si sus páginas web favoritas podrían haber sido afectadas por el bug HeartBleed.
Este 7 de abril se descubrió un potente fallo que afecta a OpenSSL, que es una "librería" de encriptación estándar que utilizar muchos sitios de páginas web en todo el mundo, según publica el sitio ABCOpenSSL es una forma que tienen las web de gestionar y encriptar las contraseñas y otra información privada que concede el usuario a una página, para que los hackers no tenga acceso a ella.

HeartBleed es un bugun error o un defecto del software o hardware que hace que un programa funcione incorrectamente, que puede capturar esa información sensible y desencriptarla. El fallo de seguridad ha sido descubierto por un grupo de investigadores que trabajan en Google y en la empresa de software de seguridad Codenomicon.
El fallo ya se ha corregido, pero la información pudo estar expuesta. Es por eso, que se recomienda cambiar contraseñas en los sitios que hayan podido sufrir el fallo.
La herramienta de LastPass es muy sencilla. Sólo hace falta introducir la dirección de una página web en el buscador de la plataforma. LastPass dirá qué tipo de servicio de encriptación utiliza y si es posible que haya estado en riesgo la información.

¿Por qué tanta alarma con HeartBleed?

Entre otras cosas, a nivel de usuario, que si alguien ataca algún servicio/aplicación web o cualquier otra cosa que proteja la información sensible con alguna de las versiones vulnerables de OpenSSL explotando el bug que nos ocupa, podrá capturar y desencriptar desde nombres de usuario hasta contraseñas pasando por tarjetas de crédito o conversaciones. O también hacerse pasar por un sitio legítimo sin que el navegador web lo detecte y engañar al usuario (por ejemplo si el sitio web de un banco de X entidad usara OpenSSL y un tercero robara sus llaves, ese tercero podría montar una web-clon de la banca que haría llegar a los usuarios y si alguno accediera, el navegador lo detectaría como el auténtico).
Por desgracia los usuarios nada podemos hacer para protegernos, todo está en manos de los administradores de sistemas. Esperemos que la mayoría ya estén instalando la última versión de OpenSSL lanzada ayer mismo en la que se ha corregido el error, y si eres uno de ellos y aún no lo ha hecho, por el bien de todos deberías instalarla lo antes posible.