Tech

¿Qué hacer ante la falla del ‘Heartbleed’?

A menos de que se reciba una notificación por parte de los operadores de los servidores de que las medidas de seguridad han sido reforzadas, cambiar las contraseñas no es una solución ante esta amenaza cibernética. 
Ana Martínez
10 abril 2014 22:0 Última actualización 11 abril 2014 9:54
Heartbleed es una vulnerabilidad de un código que se encarga de resguardar datos de usuarios en internet. (Reuters)

Heartbleed es una vulnerabilidad de un código que se encarga de resguardar datos de usuarios en internet. (Reuters)

¿Ya escuchaste hablar de Heartbleed? Ahora te decimos qué recomiendan los expertos hacer ante esta falla que ataca el módulo de cifrado Open SSL, presente en más del 50 por ciento de los servidores de internet, misma que permite a los atacantes interceptar comunicaciones seguras y robar información sensible como datos personales y contraseñas.

“El usuario final prácticamente no puede identificar si los sitios están vulnerables o no. Hoy en día la única forma que tiene de saber si el servidor es vulnerable es por medio de una notificación propia del dueño del servidor, ya sea una tienda en línea o el portal del banco” comentó Juan Castro, director de innovación tecnológica de Trend Micro en México.

Cambiar las contraseñas no es una solución ante esta amenaza hasta recibir una notificación de quienes operan los servidores, pues si no se han reforzado las medidas de seguridad, los atacantes podrían ver tanto la clave antigua, como la nueva.

Sitios como Yahoo! y Dropbox liberaron alertas entre sus usuarios para informarles que es necesario que cambien las contraseñas de sus servicios en la web, ahora que las vulnerabilidades en sus servidores han sido solventadas.

“Teniendo una ley tan robusta como la Ley Federal de Protección de Datos, lo que tenemos que exigir es que quienes manejan nuestros datos nos informen, así como lo hacen con el anuncio de privacidad” dijo Castro.

La firma estima que de cada 10 servidores, seis son vulnerables de forma crítica por errores de programación y en el software, por lo que son uno de los blancos preferidos de los atacantes.

“La detección de una falla puede hacerse inmediatamente o mucho tiempo después” comentó Andrés Velázquez, presidente del laboratorio de investigaciones digitales MaTTica. En el caso de Heartbleed, el proceso tomó cerca de dos años.

Symantec aconseja a los usuarios monitorear sus estados de cuenta para descubrir transacciones inusuales
y no realizar este tipo operaciones hasta que el sitio le haya notificado que arregló la falla.

“Cuando se reciben alertas de actualizaciones se debe implementarlas lo antes posible, pues dejarlo para después implica dejar su equipo vulnerable por más tiempo” dijo Heidi Cortés del equipo de Symantec.

El responsable de la vulnerabilidad que comprometió millones de datos de usuarios, ‘Heartbleed’, el alemán Robin Seggelmann dijo que ésta fue ocasionada tras un accidente y no deliberadamente como se ha mencionado.

“Hubo un error al tratar de mejorar el código OpenSSL hace más de dos años”, reconoció Seggelmann.