Anuncio

La vulnerabilidad SSL Heartbleed está en los titulares de todo el mundo, y los informes erróneos en la prensa y en línea están causando confusión. ¿Cómo puede mantenerse a salvo y asegurarse de que sus datos personales no se filtren?

¿Qué es la hemorragia cardíaca? Bueno, no es un virus

Probablemente hayas escuchado Heartbleed descrito como un virus. Este no es el caso: de hecho, es una debilidad, una vulnerabilidad en los servidores que ejecutan OpenSSL. Esta es la implementación de código abierto de SSL y TLS, los protocolos utilizados para conexiones seguras, aquellos que comienzan https: // en lugar de lo habitual http: //.

muo-heartbleed-help-https

Esta vulnerabilidad, más comúnmente conocida como error, esencialmente crea un agujero a través del cual los piratas informáticos pueden eludir el cifrado. Confirmado el 7 de abrilth 2014, ocurre en todas las versiones de OpenSSL excepto 1.0.1g. La amenaza se limita a los sitios que ejecutan OpenSSL: hay otras bibliotecas SSL y TLS disponibles, pero OpenSSL se emplea ampliamente en los servidores de la web. Existe una solución para el problema, pero puede que esto no se haya aplicado a los sitios web que visita regularmente para actividades seguras. Estos pueden ser compras en línea, juegos de azar y otros sitios web temáticos para adultos o incluso redes sociales.

instagram viewer

Como resultado, todo tipo de información personal y financiera podría estar en riesgo.

Para tener una idea de cuán importante es Heartbleed (y por qué se llama así), Ryan ha puesto recientemente este error que abarca Internet en contexto Error masivo en OpenSSL pone en riesgo gran parte de InternetSi eres una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te sorprenderá un poco. Lee mas . Debemos subrayar que Heartbleed es una vulnerabilidad basada en Internet y, por lo tanto, afecta a los usuarios de todos los sistemas operativos, de escritorio y móviles.

Entonces, es un gran problema, pero ¿qué puedes hacer al respecto?

Ignora el bombo y no entres en pánico

Bueno, hay una cosa que no debes hacer: pánico. Mucho se ha escrito a través de Internet y en los medios impresos en los últimos días y mucho es bombo, pornografía fatal que pondría los efectos de la famosa transmisión de radio War of the Worlds de Orson Welles vergüenza.

muo-heartbleed-help-dontpanic

Gran parte de lo que ya ha visto habrá sido improvisado en comunicados de prensa y otros informes de periodistas que no están familiarizados con la terminología y una falta de comprensión clara sobre el riesgos

Por ejemplo, es posible que sepa que debe cambiar sus contraseñas de inmediato (no es del todo cierto, deberíamos agregarlo, consulte a continuación). ¿Pero sabías sobre el riesgo de phishing?

El riesgo de phishing

Los servicios web responsables, los bancos y las redes sociales que se han visto afectados por Heartbleed le dejarán un correo electrónico para informarle que han reparado la vulnerabilidad y recomendarle que cambie su contraseña.

Naturalmente, debe hacer esto, pero tenga en cuenta que esta situación presenta una oportunidad ideal para que los phishers comiencen a enviar correos electrónicos falsos, completos con enlaces incrustados a la página "cambiar contraseña" - en realidad, un sitio web diseñado para cosechar detalles.

muo-heartbleed-help-pinterest

Ninguno de los servicios que utiliza debe recomendarle que haga clic en el enlace de cambio de contraseña en un correo electrónico enviado por correo electrónico no solicitado. Desafortunadamente, IFTTT hizo, al igual que Pinterest (arriba). Esta es una mala práctica y da la impresión de que dicho enlace es aceptable y se debe hacer clic en él.

A menos que haya solicitado el correo electrónico, no se debe hacer clic en dicho enlace.

Los correos electrónicos de restablecimiento de contraseña de Heartbleed no deben incluir enlaces de inicio de sesión. Si lo hacen, elimínelos, luego visite el sitio web escribiendo la dirección en su navegador (o seleccionándola del historial o favoritos según cómo vaya con estas cosas). A partir de ahí, restablezca su contraseña ...

... pero solo si realmente lo necesitas en esta etapa.

Desafortunadamente, la necesidad impulsada por las relaciones públicas de que las empresas parezcan estar haciendo algo sobre amenazas como Heartbleed puede resultar tan dañina como la amenaza misma.

Entonces, ¿debería cambiar sus contraseñas?

Uno de los principales consejos de Heartbleed en circulación es que debe cambiar sus contraseñas de inmediato.

Todos ellos.

Esto, lamentablemente, es un ejemplo de la información errónea a la que me referí en la introducción. Supongamos que usa la misma contraseña para varios sitios web. En primer lugar, esta es una mala práctica y debería reconsiderar hacerlo en el futuro (sin mencionar crear contraseñas más seguras Contraseñas seguras: genere una contraseña diferente para cada sitio web Lee mas ).

muo-heartbleed-help-password

En segundo lugar, si cambia indiscriminadamente todas sus contraseñas, es probable que lo haga. en un sitio web que no se ejecuta en un servidor parcheado, uno en el que Heartbleed sigue siendo un vulnerabilidad.

Sin darse cuenta, ha compartido potencialmente su contraseña anterior y su contraseña nueva con aquellos que pueden explotar la vulnerabilidad por sus operaciones de fraude de identidad y spam.

Como tal, solo debe cambiar su contraseña sitio por sitio cuando sepa que se han parcheado, es decir, se ha aplicado la solución y se ha cerrado la vulnerabilidad.

Verifique qué sitios web han sido parcheados

Comience por verificar qué sitios web están libres de la vulnerabilidad Heartbleed.

Hay dos maneras de hacer esto. Primero, dirígete a Mashable donde un se puede encontrar una lista actualizada de sitios web de renombre afectados por Heartbleed, junto con consejos sobre si debe cambiar su contraseña o no.

Para los sitios web más pequeños, esta excelente herramienta de búsqueda le dirá instantáneamente si el sitio ha sido parcheado o no.

Una alternativa es el Checker Chromebleed extensión para Google Chrome.

Si los sitios web que usa se han visto afectados y aún no han parcheado la vulnerabilidad de Heartbleed, evite iniciar sesión hasta que se resuelva la situación.

Conclusión: es un juego de espera

Lidiar con la tormenta Heartbleed no debería ser un problema para la mayoría. Siga el curso que le hemos recomendado anteriormente y no cambie ninguna contraseña hasta que los sitios web y servicios correspondientes le indiquen que lo haga.

muo-heartbleed-help-heart

También puede usar nuevas herramientas para verificar si el sitio web que planea visitar (o incluso el que ejecuta) se ha visto afectado y si se ha aplicado una solución.

Lo más importante, manténgase seguro y sea paciente. El potencial de Heartbleed para causar problemas masivos todavía está ahí: evite los sitios web que requieran parches hasta que sepa que ahora son seguros.

Créditos de imagen: Bullet Heart a través de Shutterstock, HTTPS a través de Shutterstock, No te preocupes por Shutterstock, Contraseña a través de Shutterstock

Christian Cawley es editor adjunto de seguridad, Linux, bricolaje, programación y tecnología explicada. También produce el podcast realmente útil y tiene una amplia experiencia en soporte de escritorio y software. Colaborador de la revista Linux Format, Christian es un fabricante de frambuesa Pi, amante de Lego y fanático de los juegos retro.