Ayer salía a la luz Heartbleed, un fallo extremadamente grave que afecta a la librería más usada para comunicarse de forma segura, OpenSSL. Servidores web, de correo, de mensajería... una gran parte de los servidores que usan HTTPS en Internet han sido afectados por la vulnerabilidad, que fue introducida hace dos años.
En Genbeta comentábamos las causas y consecuencias de Heartbleed: cualquier atacante podía recuperar contenidos de la memoria del servidor (contraseñas de usuarios sin cifrar, certificados, claves privadas...) sin mucho esfuerzo y sin dejar rastro. ¿Qué podemos hacer nosotros, como usuarios, ante este fallo?
Todas tus contraseñas pueden haber sido comprometidas
Si nos ponemos en el peor caso, todos los servidores HTTPS pueden haber sido comprometidos. El fallo lleva dos años en la librería, y no sabemos si alguien lo ha descubierto antes y lo ha estado explotando en lugar de avisar a la comunidad. Los servidores afectados están cambiando su seguridad, principalmente revocando certificados SSL y regenerándolos.
¿Qué deberíamos hacer los usuarios, aparte de llorar en un rincón y esperar que no haya pasado nada? El primer paso sería cambiar todas nuestras contraseñas, ya que podrían haber sido comprometidas - y ya que estamos, usando contraseñas seguras y sin reutilizar -. Ahora bien, ese cambio podría ser contraproducente.
¿Por qué podría ser contraproducente? Pues porque todavía quedan servidores vulnerables. Los más importantes (Google, Facebook, Amazon...) ya no están afectados, pero puede que otros todavía no hayan actualizado la versión, o que no hayan revocado todavía sus certificados. Si vas a un servidor que todavía es vulnerable y cambias la contraseña, puede que caiga en las manos de alguien que ha aprovechado ahora para atacarlo.
Si de verdad queremos ser conservadores, el consejo es tener mucho cuidado con lo que hagas en Internet durante estos días, tratando de no entrar en cuentas sensibles. Una vez que pase la tormenta y podamos estar seguros de que los servidores han corregido el fallo, entonces sí sería recomendable cambiar nuestras contraseñas.
¿Quién ha sido afectado?
Una buena parte de los servidores más importantes de Internet han sido afectados por el fallo. La cifra que circula de un 66% de los servidores del mundo vulnerables no es cierta, sin embargo: ese porcentaje se refiere sólo al porcentaje de páginas web con Apache o nginx - dos servidores que usan OpenSSL por defecto - y no tiene en cuenta cuántos de esos servidores tienen HTTPS.
La cifra más correcta sería la que ha dado después Netcraft: un 17,5% de los sitios que usan SSL, lo que se traduce en unos 500.000 sitios web afectados.
Entre ellos, se encuentran muchos muy conocidos como Twitter, Dropbox, Github, DuckDuckGo o Tumblr. Otros, como Facebook, Google, PayPal y Amazon, no parecen haber sido afectados (o al menos han corregido el fallo antes de que nadie pudiese probar sus servidores). Proveedores de hosting, como Heroku o Amazon Web Service (más concretamente, sus balanceadores de carga) también eran vulnerables. También habría que destacar que Lastpass es otro sitio afectado a añadir a la lista, aunque prometen que nuestras contraseñas no pueden haber sido comprometidas.
Mención aparte merece el caso de Yahoo. Varios investigadores, al probar si Yahoo.com era vulnerable, descubrieron que sus servidores escupían nombres de usuario y contraseñas de sus clientes, en texto plano. Es de esperar que otros hackers sin tan buenas intenciones hayan logrado listas muy generosas de usuarios y contraseñas. Una muestra de que Heartbleed no es sólo algo teórico, sino un peligro real para los usuarios.
Como decía al principio, ahora mismo lo único que nos queda como usuarios es estar atentos a actividades sospechosas en nuestras cuentas y prepararnos para cambiar nuestras contraseñas más sensibles en los sitios que ya no sean vulnerables. Además, no me sorprendería si en los próximos días aparecen más noticias de servidores atacados gracias a Heartbleed.
En Genbeta | Heartbleed, otro fallo extremadamente grave en una librería SSL