Ayer salía a la luz Heartbleed, un fallo extremadamente grave que afecta a la librería más usada para comunicarse de forma segura, OpenSSL. Servidores web, de correo, de mensajería... una gran parte de los servidores que usan HTTPS en Internet han sido afectados por la vulnerabilidad, que fue introducida hace dos años.
En Genbeta comentábamos las causas y consecuencias de Heartbleed: cualquier atacante podía recuperar contenidos de la memoria del servidor (contraseñas de usuarios sin cifrar, certificados, claves privadas...) sin mucho esfuerzo y sin dejar rastro. ¿Qué podemos hacer nosotros, como usuarios, ante este fallo?
Todas tus contraseñas pueden haber sido comprometidas
Si nos ponemos en el peor caso, todos los servidores HTTPS pueden haber sido comprometidos. El fallo lleva dos años en la librería, y no sabemos si alguien lo ha descubierto antes y lo ha estado explotando en lugar de avisar a la comunidad. Los servidores afectados están cambiando su seguridad, principalmente revocando certificados SSL y regenerándolos.
¿Qué deberíamos hacer los usuarios, aparte de llorar en un rincón y esperar que no haya pasado nada? El primer paso sería cambiar todas nuestras contraseñas, ya que podrían haber sido comprometidas - y ya que estamos, usando contraseñas seguras y sin reutilizar -. Ahora bien, ese cambio podría ser contraproducente.
¿Por qué podría ser contraproducente? Pues porque todavía quedan servidores vulnerables. Los más importantes (Google, Facebook, Amazon...) ya no están afectados, pero puede que otros todavía no hayan actualizado la versión, o que no hayan revocado todavía sus certificados. Si vas a un servidor que todavía es vulnerable y cambias la contraseña, puede que caiga en las manos de alguien que ha aprovechado ahora para atacarlo.
Si de verdad queremos ser conservadores, el consejo es tener mucho cuidado con lo que hagas en Internet durante estos días, tratando de no entrar en cuentas sensibles. Una vez que pase la tormenta y podamos estar seguros de que los servidores han corregido el fallo, entonces sí sería recomendable cambiar nuestras contraseñas.
¿Quién ha sido afectado?

Servidores vulnerables a Heartbleed, divididos por tipo.
Una buena parte de los servidores más importantes de Internet han sido afectados por el fallo. La cifra que circula de un 66% de los servidores del mundo vulnerables no es cierta, sin embargo: ese porcentaje se refiere sólo al porcentaje de páginas web con Apache o nginx - dos servidores que usan OpenSSL por defecto - y no tiene en cuenta cuántos de esos servidores tienen HTTPS.
La cifra más correcta sería la que ha dado después Netcraft: un 17,5% de los sitios que usan SSL, lo que se traduce en unos 500.000 sitios web afectados.
Entre ellos, se encuentran muchos muy conocidos como Twitter, Dropbox, Github, DuckDuckGo o Tumblr. Otros, como Facebook, Google, PayPal y Amazon, no parecen haber sido afectados (o al menos han corregido el fallo antes de que nadie pudiese probar sus servidores). Proveedores de hosting, como Heroku o Amazon Web Service (más concretamente, sus balanceadores de carga) también eran vulnerables. También habría que destacar que Lastpass es otro sitio afectado a añadir a la lista, aunque prometen que nuestras contraseñas no pueden haber sido comprometidas.
Mención aparte merece el caso de Yahoo. Varios investigadores, al probar si Yahoo.com era vulnerable, descubrieron que sus servidores escupían nombres de usuario y contraseñas de sus clientes, en texto plano. Es de esperar que otros hackers sin tan buenas intenciones hayan logrado listas muy generosas de usuarios y contraseñas. Una muestra de que Heartbleed no es sólo algo teórico, sino un peligro real para los usuarios.
Como decía al principio, ahora mismo lo único que nos queda como usuarios es estar atentos a actividades sospechosas en nuestras cuentas y prepararnos para cambiar nuestras contraseñas más sensibles en los sitios que ya no sean vulnerables. Además, no me sorprendería si en los próximos días aparecen más noticias de servidores atacados gracias a Heartbleed.
En Genbeta | Heartbleed, otro fallo extremadamente grave en una librería SSL
Ver 31 comentarios
31 comentarios
vuler
En otros sitios he leído ciertas opiniones, donde dan a entender que este código (en el que no se comprueba si el tamaño real del payload se corresponde con el que se indica en la cabecera), podría no ser un "pequeño" error de alguien del equipo de desarrollo, sino algo premeditado.
Y aquí es donde salen a la luz de nuevo ciertos organismos con intereses, como la NSA, que podría haber estado utilizando este agujero durante dos años y sin dejar trazas de ningún tipo.
No sé hasta qué punto es paranoia o puede ser real, pero de ser así, ¿en cuántas partes han podido dejar este tipo de regalitos y pasar desapercibidos?
aldelpino1
putada gorda!, hay un problema enorme, pero no te asustes, solo espera a que no te haya tocado a ti!, muy buen consejo, jejeje, o sea, espera y mira a ver si tienes que llorar mucho o poco...
jose-luis
No os preocupéis si os levantan las contraseñas.
Recibiremos indemnizaciones.... en Bitcoins. :)
alberto15886
- Gandalf ¿Qué hacemos ahora?
+ ¡Corred insensatos!
drperez96
En respuesta al título:
Los usuarios, absolutamente nada.
jibacondrio
a cambiar 1.000 contraseñas? jejeje
josemicoronil
Lo de LastPass me ha tocado un poco la moral.
Espero que sea cierto aquello de que no nos va a afectar...
Saludos
sidez
Si alguien tiene una VPN por ahí que utilice esta librería debería regenerar sus certificados despues de actualizar la librería openssl a la versión 1.0.1g o posterior, si la versión que utilizaba era muy antigua, de la rama 1.0.0 o anteriores, está a salvo porque este bug se introdujo despues.
Mr.Floppy
Básicamente ya estoy hasta los cojones de cambiar contraseñas en todas partes por problemas de seguridad.
Usuario desactivado
hoy actualice linux y por sorpresa envio una actualizacion para esto de openssl asi que para los que usan linux solo hay que actualizar y listo adios problema!!
eligio
Deberíais cambiar el titulo de la entrada. Es engañoso. No dais soluciones sino consejos mas que obvios. Espero que toméis mi comentario constructivamente, ya que esa es mi intención. Un saludo
davidpoiu
¿Titulares sensacionalistas y exagerados? ¿Dónde?
ivaaanmarquez
Muy interesante, y es de sobre entender que agencias como la NSA seguramente la utilizaban, pero fuera de eso tengo una pregunta: Como saber cuando algun servidor es seguro para ya cambiar nuestras contraseñas? Ya sabemos que Amazon Facebook y Google son seguros ya, pero hay alguna manera de saber si los demas son seguros ya? Para empezar a cambiar nuestras contraseñas
zinkiki
Yo creo que una acción que pueden hacer los usuarios es habilitar (si no lo tienen habilitado) el acceso en dos pasos o doble canal, en aquellos servicios que dispongan de esta opción.
Digamos que pones algo más de dificultad en la labor del "malo" a la hora de conseguir tus credenciales.
milencisex
Hombre como usuarios, lo unico que se puede hacer es como tu dijiste cambiar las contraseñas. Otra no hay.
laregentadelmar
con tantas contraseñas ya ni me acuerdo de mi cumpleaños jeje