La confianza en internet sufrió un nuevo revés con el hallazgo de una importante falla en materia de seguridad en un programa de encriptado que usan la mitad de los sitios destinado a proteger claves y otros datos como los bancarios.
PUBLICIDAD
El error, llamado “Heartbleed” (“corazón que sangra”), afecta algunas versiones de OpenSSL, un programa de uso libre muy común en conexiones seguras en internet, que se identifica por ejemplo con una dirección que empieza con https o un candado durante operaciones bancarias o de identificación on line.
Este tipo de conexiones sirve a menudo para la mensajería instantánea, el intercambio de correo electrónico o redes privadas VPN.
Puede permitir a piratas informáticos recuperar en la memoria de los servidores datos ingresados durante conexiones seguras, según expertos de la firma especializada Fox-IT. Ésta considera que la falla existe desde que salió una versión de OpenSSL hace dos años aproximadamente.
El equipo que está detrás de OpenSSL publicó una alerta de seguridad y recomendó a sus usuarios instalar una versión mejorada del programa. Precisó además que Neel Mehta, un investigador de Google Security, fue quien descubrió la falla.
“Es probable que todos aquellos que administren un servidor en internet https estén trabajando arduamente hoy”, advierte el Tor Project, otro grupo que defiende el anonimato en internet, en un mensaje publicado en su sitio.
Sugieren además a quienes buscan un “verdadero anonimato o una protección de su vida privada on line (…) mantenerse completamente alejados de internet en los próximos días, mientras las cosas se solucionan”.
PUBLICIDAD
Este consejo fue observado en parte por los servicios impositivos canadienses, que desactivaron el miércoles la página de su sitio que permite a los contribuyentes acceder a su perfil fiscal.
“Los datos más preciados”
Entre los datos que pueden recuperar los piratas informáticos figuran códigos fuente (archivos que reúnen instrucciones que ejecuta un microprocesador), contraseñas y “claves” usadas para acceder a datos encriptados o imitar un sitio.
“Son los datos más preciados, las claves mismas de encriptado”, subraya heartbleed.com, un sitio en internet lanzado para describir las características de la falla: “permiten a los piratas desencriptar todas las conexiones pasadas y futuras con servicios protegidos”.
La falla no concierne a todas las versiones de OpenSSL. No permite a un pirata obtener más de 64 k de datos a la vez, ni controlar precisamente a qué parte de la memoria del servidor informático accede, según especialistas en seguridad informática.
Pero los piratas pueden realizar ataques en serie en el mismo servidor para aumentar sus posibilidades de conseguir datos valiosos. “La cantidad de ataques que pueden llevar a cabo no tiene límites”, advierte Fox-IT en un mensaje que detalla las medidas a tomar para evitar las intrusiones.
Especialistas en ciberseguridad dicen que usaron la falla para recuperar contraseñas para los servicios del grupo en internet estadounidense Yahoo!, que el martes afirmó en un comunicado haber resuelto el problema.
Todavía no se sabe si Heartbleed fue efectivamente usado por piratas, pero los administradores de sitios que usaron versiones riesgosas de OpenSSL deben actualizarlas con otras más recientes y más seguras e instalar actualizaciones que fueron lanzadas de emergencia.
Además, deberán cambiar las identificaciones de seguridad que permiten a los usuarios en internet confirmar su autenticidad. Si los piratas accedieron a ellas, podrían crear copias fraudulentas de sus sitios con la meta de engañar a los usuarios para recuperar más datos.
Algunos expertos aconsejan también a los usuarios en internet que modifiquen por precaución las contraseñas de las cuentas o servicios que desean proteger.