Heartbleed

La vulnerabilidad Heartbleed es un error de programación en la biblioteca criptográfica OpenSSL. Este error le permite al atacante adquirir información sensible incluidos los nombres de usuario, las contraseñas y las claves de cifrado secretas. La vulnerabilidad Heartbleed se puede explotar sin la interferencia del usuario y la información privada se puede adquirir en fragmentos de 64kb por vez. Oficialmente, Hearbleed recibe el nombre de CVE-2014-0160. Las versiones afectadas incluyen la versión OpenSSL para 1.0.1 a 1.0.1f y 1.0.2-beta. El error Heartbleed es único ya que es fácil de explotar y no deja huellas.

La vulnerabilidad Heartbleed incluye las extensiones de Heartbeat. Los usuarios afectados deben actualizarse con OpenSSL 1.0.1g.

OpenSSL es utilizado por varios usuarios de Internet, incluidos los proveedores de servicio de correos electrónicos y los foros. El proyecto OpenSSL se fundó en 1998 para crear una herramienta de cifrado, utilizada por dos tercios de los servidores de la web. OpenSSL es utilizado para proteger los sitios web gubernamentales, comerciales, de distribución de software entre otros. Se ha calculado que existen alrededor de 1,4 millones de servidores vulnerables de la web. Los proveedores de servicios deben reparar los errores con Heartbleed y recomendarles a los usuarios que cambien sus contraseñas. La contraseña debe modificarse solo cuando se implemente la reparación. Si tiene una cuenta en Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Etsy, GoDaddy, Flickr, Minecraft, Netflix, SoundCloud o en YouTube, debería modificar la contraseña para iniciar sesión. No está claro si Facebook quedó afectado ya que no se detectaron actividades sospechosas. No obstante, se recomienda actualizar sus contraseñas para prevenir la fuga de datos.

En lo que respecta al sistema operativo de los teléfonos móviles, los teléfonos de Apple iOS y Microsoft no incorporan a OpenSSL, mientras que BlackBerry informa que los teléfonos BlackBerry no están afectados. Se ha informado que el modelo de Android, Android 4.1.1 sí está afectado.

Se recomienda cambiar la contraseña de la cuenta en forma periódica y utilizar contraseñas complejas. Según Microsoft, Microsoft Account, Office 365, Yammer, Microsoft Azure y Skype no están afectadas por la vulnerabilidad de Heartbleed.

Se declaró que el problema acerca de Heartbleed es conocido por la Agencia de Seguridad Nacional de los Estados Unidos, quien niega esta declaración. Según informes, la NSA (Agencia de Seguridad Nacional) no comentó el informe acerca de la vulnerabilidad y niega los alegatos que declaran que conocían dicha vulnerabilidad.

Heartbleed es considerada una de las fallas más grandes de la historia de la Internet. Por ejemplo, el gobierno canadiense impulsó la sospecha de la declaración de impuestos electrónica.