La NSA asegura que no ha utilizado el mayor fallo de seguridad registrado en la historia de internet para espiar a usuarios. Las grandes empresas como Apple aseguran que no se han visto afectados pero los expertos recomiendan cambiar las contraseñas
Una
semana después de su descubrimiento oficial, Heartbleed («corazón
sangrante», en español), el
grave fallo del código enOpenSSL,
una de las bibliotecas de criptografía más utilizadas de la World
Wide Web, que ha alertado de grandes peligros en internet, ha unido a
la comunidad de expertos al considerar la gravedad que supone esta
situación, aunque la magnitud de los daños resulta difícil de
evaluar.
«Este
es, sin duda, una vulnerabilidad crítica», asegura a la agencia
AFP Thomas
Gayet,
especialista en la lucha contra el delito cibernético de la
consultora Lexsi.
«Podría haber una fuga de datos». Los «hackers» no pueden
orientar con precisión sus ataques, pero «si los dos últimos años
la gente ha sido consciente de esta vulnerabilidad y pudo usarla,
podría maximizar sus posibilidades de obtener información
confidencial», comenta.
Se
estima que dos terceras partes de todo internet se ha visto afectado
por este problema, aunque diversas empresas de seguridad han reducido
su impacto. Este fallo, descubierto por investigadores
de Google Security
y la empresa Codenomicon,
afecta, a priori, a las versiones posteriores del programa Open SSL
posteriores a marzo de 2012 y, por lo tanto,afecta
a servidores de correo y accesos remotos de banca «online».
«Es
un problema muy grave», pero no ha supuesto que la brecha de
seguridad haya
sido aprovechada por cibercriminales,
de otra forma «habría habido casos de robo de datos inexplicables
en las últimas semanas y meses y no se han producido este tipo de
alertas», ha reconocido el experto en seguridad de G
Data, Eddy
Willems.
Tras
conocerse este fallo, la agencia de inteligencia de EE.UU.
conocidapor sus siglas en
inglés NSA, ha negado tener conocimiento de haber usado
la vulnerabilidad producida por Heartbleed para espiar a miles de
usuarios o robar contraseñas. El caso es que la lista de víctimas
potenciales es muy larga.
Las webs afectadas
Algunos
servicios como Yahoo,
Google, Facebook, Instagram, Netflix o Airbnb han
llevado a cabo una actualización de seguridad en los últimos días,
pero otros servicios «online» como Pinterest o Tumblr sí se han
visto afectados, según ha comprobado el
portal especializado «Mashable». Twitter,
Etsy, GoDaddy, Box, Dropbox o SoundCloud sí se han visto afectas y
se recomienda cambiar de contraseña.
Plataformas
como Amazon y LinkedIn aseguran haber estado a salvo, mientras que
Apple ha conseguido que sus sistemas operativos iOS y OS X no se
vieran afectados. Lo mismo ocurre con «la mayoría» de los
servicios de Microsoft, como Outlook, Skype o Office 365.
«Los
grandes grupos podrían resolver el problema de forma rápida»,
reconoce Tim
Maurer,
experto en seguridad de New
America Foundation.
«No así las pequeñas y medianas empresas, que no tienen los
recursos y equipos de expertos en seguridad necesarios para
actualizar su sistema rápidamente».
Otra
de las razones para temer que el problema es difícil de resolver :
los proveedores de infraestructuras y redes de telecomunicaciones ,
tales como Cisco o Juniper Networks, hacen hincapié en que su equipo
también puede verse afectada.
Según
algunos expertos, cambiar todas las contraseñas sin discernimiento
es «un mal consejo». «Solo debemos cambiar las contraseñas de los
sitios que han confirmado que solucionaron el problema. El resto es
aumentar las posibilidades de que su información privada va a ser
interceptada», explica Graham
Cluley, analista independiente especializada en seguridad
informática.
Empresas
de seguridad advierten que se puede utilizar Heartbleed como pretexto
para mandar correos electrónicos falsos a modo «de pesca» que
aseguran poder cambiar una contraseña. Además, los expertos también
aconsejan a los usuarios controlar con especial atención sus cuentas
bancarias, para identificar transacciones sospechosas.
Fuente: