“Heartbleed”: qué sitios afectó y qué contraseñas hay que cambiar

Este tipo de conexiones sirve a menudo para la mensajería instantánea, el intercambio de correo electrónico o redes privadas VPN.

Entre los sitios afectados están Facebook, Yahoo (incluyendo sus servicios asociados como Flickr y Tumblr), Google, Dropbox, LastPass, SoundCloud y Amazon Web Services. Todos ellos ya solucionaron los problemas, señala el diario El Mercurio de Chile, y agrega que para todos esos servicios se recomienda la creación de nuevas contraseñas.

Según publica Yahoo! esta es la lista de sitios, servicios y redes sociales cuya contraseña se debe cambiar: Instagram, Pinterest, Minecraft, Facebook, Tumblr, Google, Yahoo, Gmail, Yahoo Mail, Amazon Web Services (hosting), GoDaddy, Dropbox, LastPass, OkCupid, SoundCloud, Wunderlist. La siguiente lista es de sitios que no han revelado su situación —por lo que no es recomendable cambiar la contraseña aún: Twitter, Apple, eBay, Netflix.

- Aquí está la lista completa de sitios afectados (Github).

En el sitio Mashable.com se publica una lista de sitios afectados y se especifica en cada uno de ellos si es necesario cambiar la contraseña y por qué.

El fallo puede permitir a piratas informáticos recuperar en la memoria de los servidores datos ingresados durante conexiones seguras, según expertos de la firma especializada Fox-IT. Esta considera que la falla existe desde que salió una versión de OpenSSL hace dos años aproximadamente.

El equipo que está detrás de OpenSSL publicó una alerta de seguridad y recomendó a sus usuarios instalar una versión mejorada del programa. Precisó además que Neel Mehta, un investigador de Google Security, fue quien descubrió la falla.

"Es probable que todos aquellos que administren un servidor en internet https estén trabajando arduamente hoy", advierte el Tor Project, otro grupo que defiende el anonimato en internet, en un mensaje publicado en su sitio.

Sugieren además a quienes buscan un "verdadero anonimato o una protección de su vida privada on line (...) mantenerse completamente alejados de internet en los próximos días, mientras las cosas se solucionan".

Este consejo fue observado en parte por los servicios impositivos canadienses, que desactivaron el miércoles la página de su sitio que permite a los contribuyentes acceder a su perfil fiscal.

- "LOS DATOS MÁS PRECIADOS" - Entre los datos que pueden recuperar los piratas informáticos figuran códigos fuente (archivos que reúnen instrucciones que ejecuta un microprocesador), contraseñas y "claves" usadas para acceder a datos encriptados o imitar un sitio.

"Son los datos más preciados, las claves mismas de encriptado", subraya heartbleed.com, un sitio en internet lanzado para describir las características de la falla: "permiten a los piratas desencriptar todas las conexiones pasadas y futuras con servicios protegidos".

La falla no concierne a todas las versiones de OpenSSL. No permite a un pirata obtener más de 64 k de datos a la vez, ni controlar precisamente a qué parte de la memoria del servidor informático accede, según especialistas en seguridad informática.

Pero los piratas pueden realizar ataques en serie en el mismo servidor para aumentar sus posibilidades de conseguir datos valiosos. "La cantidad de ataques que pueden llevar a cabo no tiene límites", advierte Fox-IT en un mensaje que detalla las medidas a tomar para evitar las intrusiones.

Especialistas en ciberseguridad dicen que usaron la falla para recuperar contraseñas para los servicios del grupo en internet estadounidense Yahoo!, que el martes afirmó en un comunicado haber resuelto el problema.

Todavía no se sabe si Heartbleed fue efectivamente usado por piratas, pero los administradores de sitios que usaron versiones riesgosas de OpenSSL deben actualizarlas con otras más recientes y más seguras e instalar actualizaciones que fueron lanzadas de emergencia.

Además, deberán cambiar las identificaciones de seguridad que permiten a los usuarios en internet confirmar su autenticidad. Si los piratas accedieron a ellas, podrían crear copias fraudulentas de sus sitios con la meta de engañar a los usuarios para recuperar más datos.

Algunos expertos aconsejan también a los usuarios en internet que modifiquen por precaución las contraseñas de las cuentas o servicios que desean proteger.

CÓMO SABER QUÉ PÁGINA ESTÁ INFECTADA. El diario ABC de España informa en su sitio web sobre “LastPass”, una herramienta creada para que los usuarios chequeen si el sitio al que desean ingresar fue afectado por “HeartBleed”.

Si bien el fallo ya fue corregido, hay mucha información que estuvo expuesta durante mucho tiempo y es por ello que se recomienda cambiar las contraseñas. 

En base a AFP, El Mercurio y ABC.