El Pasado martes 8 de abril saltó la noticia que ha sacudido internet, descubierta por un grupo de seguridad finlandés llamado Codenomicon. Un error en el protocolo de seguridad OpenSSL, al que se le conoce como Heartbleed.
El protocolo https es el encargado de cifrar las comunicaciones entre las páginas web «seguras», se encarga de hacer seguras las transacciones bancarias, las contraseñas de registro de multitud de servicios, etc. En resumen este certificado nos asegura que la información que demos no podrá ser accedida por terceros.
Este fallo afectaba hace poco a la TOTALIDAD de páginas web que utilizaban este protocolo, permitiría a un hacker poder acceder a la memoria de un servidor y recuperar los datos de sus usuarios, obteniendo así, sus nombres y claves de acceso. Esto de por sí es muy grave, pero ahora viene lo peor de todo: este protocolo es usado por el 66% de Internet. Cualquier web puede ser vulnerable en estos momentos. Y por si esto fuera poco, este fallo se conoce desde hace 2 años, por lo que el alcance puede haber sido masivo.
¿Qué se puede hacer?
Realmente hay poco que se pueda hacer, no es algo que dependa del usuario sino más bien de la empresa que tiene tus datos. Así que lo más recomendable es no acceder a los servicios hasta que la compañía confirme que han solucionado el problema. Es una medida un tanto drástica pero si no accedes a una web, tus datos no quedarán almacenados en la memoria del servidor y, por tanto, no podrán ser recuperados.
De todos modos, y siguiendo la recomendación de varios expertos en seguridad informática, no estaría de más cambiar las contraseñas de los servicios más populares que se han visto afectados.
¿Qué sitios han quedado comprometidos?
Hay una web donde puedes comprobar la seguridad de cualquier dominio:
https://filippo.io/Heartbleed/
A continuación hay una lista con algunos servicios en los cuales deberías actualizar tus datos sobre todo las CONTRASEÑAS. Recuerda, si los actualizas en la web deberás actualizarlos en tu smartphone y tablet:
- Tumblr
- Google (google+, gmail, play, etc)
- Yahoo (yahoo mail y demás servicios relacionados)
- Flickr
- Amazon Web Services (esto es para profesionales, no la tienda)
- eBay (dicen que «la mayoría de sus servicios no fueron afectados» pero eso no es el 100%)
- Dropbox
- SoundCloud
- Wunderlist