La vulnerabilidad de Heartbleed SSL está en los titulares de todo el mundo, y la información incorrecta en la prensa y en línea está causando confusión. ¿Cómo puede mantenerse seguro y evitar que sus datos personales no se filtren?
¿Qué es Heartbleed? Bueno, no es un virus
Probablemente hayas escuchado que Heartbleed es descrito como un virus. Este no es el caso: de hecho, es una debilidad, una vulnerabilidad en los servidores que ejecutan OpenSSL. Esta es la implementación de código abierto de SSL y TLS, los protocolos utilizados para las conexiones seguras, aquellos que comienzan con https: // en lugar del http: // habitual.
Esta vulnerabilidad, más comúnmente conocida como error, esencialmente crea un agujero a través del cual los hackers pueden eludir el cifrado. Confirmado el 7 de abril de 2014, ocurre en todas las versiones de OpenSSL excepto en la 1.0.1g. La amenaza se limita a los sitios que ejecutan OpenSSL; otras bibliotecas SSL y TLS están disponibles, pero OpenSSL se emplea ampliamente en los servidores de la web. Existe una solución para el problema, pero es posible que esto no se haya aplicado a los sitios web que visitas regularmente para actividades seguras. Estos pueden ser compras en línea, juegos de azar y otros sitios web temáticos para adultos o incluso redes sociales.
Como resultado, toda clase de información personal y financiera podría estar en riesgo.
Para tener una idea de cuán grande es Heartbleed (y por qué se llama así), Ryan recientemente ha puesto este error de Internet en contexto. Massive Bug en OpenSSL pone gran parte de Internet en riesgo. Error masivo en OpenSSL pone gran parte de Internet En riesgo Si usted es una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, se sorprenderá un poco. Lee mas . Debemos subrayar que Heartbleed es una vulnerabilidad basada en Internet y, por lo tanto, afecta a los usuarios de todos los sistemas operativos, de escritorio y móviles.
Entonces, es un gran problema, pero ¿qué puedes hacer al respecto?
Ignore The Hype & Do not Panic
Bueno, hay una cosa que no debes hacer: entrar en pánico. Mucho se ha escrito a través de Internet y en los medios impresos en los últimos días, y gran parte es una exageración, doom porno que haría que los efectos de la famosa emisión de radio War of the Worlds de Orson Welles se avergüencen.
Gran parte de lo que ya han visto se ha elaborado a partir de comunicados de prensa y otros informes de periodistas que no están familiarizados con la terminología y la falta de una comprensión clara de los riesgos.
Por ejemplo, es posible que sepa que debe cambiar sus contraseñas de inmediato (no del todo cierto, debemos agregar, consulte más abajo). ¿Pero sabías sobre el riesgo de phishing?
El riesgo de phishing
Los servicios web responsables, los bancos y las redes sociales que se han visto afectados por Heartbleed le enviarán un correo electrónico para informarle que han reparado la vulnerabilidad y le recomendarán que cambie su contraseña.
Naturalmente, debes hacer esto, pero ten en cuenta que esta situación ofrece una oportunidad ideal para que los estafadores comiencen a enviar correos electrónicos falsos, con enlaces incrustados a la página "cambiar contraseña", en realidad, un sitio web diseñado para recolectar tus datos.
Ninguno de los servicios que utiliza debe recomendarle que haga clic en el enlace Cambiar contraseña en un correo electrónico enviado por correo electrónico no solicitado. Lamentablemente, IFTTT lo hizo, al igual que Pinterest (arriba). Esta es una mala práctica y da la impresión de que dicho enlace es aceptable y debe hacerse clic.
A menos que haya solicitado el correo electrónico, no se debe hacer clic en dicho enlace.
Los correos electrónicos de restablecimiento de contraseña Heartbleed no deberían incluir enlaces de inicio de sesión. Si lo hacen, elimínelos, luego visite el sitio web ingresando la dirección en su navegador (o selecciónela de su historial o favoritos según cómo se desenvuelva con ellos). A partir de ahí, restablece tu contraseña ...
... pero solo si realmente lo necesita en esta etapa.
Desafortunadamente, la necesidad impulsada por las relaciones públicas de que las empresas parezcan estar haciendo algo acerca de amenazas como Heartbleed puede resultar tan perjudicial como la propia amenaza.
Entonces, ¿Deberías cambiar tus contraseñas?
Una de las principales sugerencias de Heartbleed en circulación es que debe cambiar sus contraseñas de inmediato.
Todos ellos.
Esto, tristemente, es un ejemplo de la desinformación a la que me referí en la introducción. Digamos que usa la misma contraseña para varios sitios web. En primer lugar, esta es una mala práctica y debería reconsiderar hacerlo en el futuro (sin mencionar crear contraseñas más seguras Contraseñas seguras: generar una contraseña diferente para cada sitio web Contraseñas seguras: generar una contraseña diferente para cada sitio web Lea más).
En segundo lugar, si cambia indiscriminadamente todas sus contraseñas, es probable que lo haga en un sitio web que no se ejecuta en un servidor parcheado, en el que Heartbleed sigue siendo una vulnerabilidad.
Inadvertidamente, es posible que haya compartido su contraseña anterior y su contraseña nueva con aquellas que pueden explotar la vulnerabilidad de sus operaciones de fraude de identidad y correo no deseado.
Como tal, solo debe cambiar su contraseña sitio por sitio cuando sepa que se han aplicado parches, es decir, se ha aplicado la corrección y se ha cerrado la vulnerabilidad.
Comprobar qué sitios web se han revisado
Comience por verificar qué sitios web están libres de la vulnerabilidad Heartbleed.
Hay dos maneras de hacer esto. Primero, diríjase a Mashable donde encontrará una lista actualizada de los principales sitios web afectados por Heartbleed, junto con consejos sobre si debe cambiar su contraseña o no.
Para los sitios web más pequeños, esta excelente herramienta de búsqueda le dirá instantáneamente si el sitio ha sido parcheado o no.
Una alternativa es la extensión del Comprobador de Chromebleed para Google Chrome.
Si los sitios web que utiliza se han visto afectados y aún no han corregido la vulnerabilidad de Heartbleed, evite iniciar sesión hasta que se resuelva la situación.
Conclusión: es un juego de espera
Tratar con la tormenta Heartbleed no debería ser un problema para la mayoría. Siga el curso que hemos recomendado anteriormente y no cambie las contraseñas hasta que los sitios web y servicios correspondientes le indiquen que lo haga.
También puede usar nuevas herramientas para verificar si el sitio web que planea visitar (o incluso el que ejecuta) se ha visto afectado y si se ha aplicado una solución.
Lo más importante es mantenerse seguro y ser paciente. Aún existe la posibilidad de que Heartbleed cause problemas masivos: evite los sitios web que requieren parches hasta que sepa que ahora están seguros.
Créditos de las imágenes: Bullet Heart a través de Shutterstock, HTTPS a través de Shutterstock, Do not Panic Button a través de Shutterstock, Password a través de Shutterstock