Un bug serio en OpenSSL permite descifrar tus claves


¡Alerta en el Café! Se ha suscitado una alerta de seguridad informática, a causa de un bug serio recién detectado en OpenSSL, una de las bibliotecas de criptografía más utilizadas de la World Wide Web.

El fallo de seguridad ha sido descubierto por un grupo de investigadores que trabajan en Google y en la empresa de software de seguridad Codenomicon el cual han bautizado con el nombre de Heartbleed. Afinando un poco más, el mismo nace de un error de implementación de la función heartbeat de OpenSSL (de ahí el nombre) y la gravedad radica en que estamos ante un bug de primer nivel, o sea se puede comprometer los datos y las comunicaciones de los usuarios de sitios web, correo electrónico, aplicaciones de mensajería instantánea o redes virtuales privadas.

La vulnerabilidad en el popular OpenSSL permite que cualquier atacante pueda leer la memoria de los sistemas protegidos por las versiones vulnerables de la biblioteca -desde la 1.0.1 hasta la 1.0.1f incluida- y como consecuencia de eso extraer las claves secretas utilizadas para identificar a los proveedores legítimos de servicios y cifrar el tráfico, los nombres y contraseñas de los usuarios y demás.

Un usuario avanzado puede explotar este bug para “capturar” y desencriptar desde nombres de usuario hasta contraseñas pasando por tarjetas de crédito o conversaciones. O también hacerse pasar por un sitio legítimo sin que el navegador web lo detecte y engañar al usuario (por ejemplo si la banca online de X entidad usara OpenSSL y un tercero robara sus llaves, ese tercero podría montar una web-clon de la banca que haría llegar a los usuarios y si alguno accediera, el navegador lo detectaría como el auténtico).

Por desgracia los usuarios nada podemos hacer para protegernos, todo está en manos de los administradores de sistemas. Esperemos que la mayoría ya estén instalando la última versión de OpenSSL lanzada ayer mismo en la que se ha corregido el error, y si eres uno de ellos y aún no lo ha hecho, por el bien de todos deberías instalarla lo antes posible.

Tags:

Author:Antonio E. DaSilva

Comunicador social de amplia trayectoria en los llanos centrales. Las llamadas al aire y el sonido digital usando MiniDisk en entrevistas y música, fueron introducidas por este innovador locutor. Director Fundador del Diario Visión Apureña, único rotativo a color del estado Apure; Director de la estación de radio Calle 90.9 FM en la Villa de Todos Los Santos de Calabozo, fue uno de los primeros en usar las Redes Sociales y junto a Hugo Londoño; hacen historia en el periodismo Web 2.0, convirtiéndose en “Influencer” de gran valía en Iberoamérica.