Vulnerabilidad Heartbleed. ¿De qué se trata?

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

 

vulnerabilidad-heartbleed-de-que-se-trata_001

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

 

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

 

Recomendaciones para usuarios

Se recomienda a los usuarios de los sitios afectados verificar que, antes de cambiar sus contraseñas, la vulnerabilidad haya sido corregida y los certificados SSL actualizados. No tiene sentido alguno cambiar la contraseña en un sitio que aún no ha eliminado el software vulnerable de sus sitemas, ya que la información podría estar siendo interceptada.

Mediante su sitio oficial, LastPass ha puesto a disposición una herramienta de verificación que permite identificar aquellas webs que se encuentran afectadas o lo han estado.

 vulnerabilidad-heartbleed-de-que-se-trata_002

Ejemplo de sitio no afectado corriendo sobre Internet Information Services (IIS) de Microsoft.
vulnerabilidad-heartbleed-de-que-se-trata_003
Ejemplo de sitio afectado, pero que ya ha corregido el fallo.

 

Grandes compañías afectadas

Entre las compañías afectadas y los sitios más populares se encontraron:

  • Akamai Technologies
  • Bitbucket
  • Box
  • Dropbox
  • GitHub
  • Gmail
  • IFTTT
  • Instagram
  • Netflix
  • Pinterest
  • SoundCloud
  • SourceForge
  • Tumblr
  • Wikimedia Foundation (incluyendo Wikipedia)
  • WordPress*
  • Yahoo! (incluyendo Yahoo! Mail)
  • Youtube

Aún no queda del todo claro si WordPress ha sido afectado o no, pero lo cierto es que Matt Mullenweg, su fundador, ha respondido a la reiterada pregunta de cuándo piensan reemplazar sus certificados SSL con un simple “Pronto”. Fuente: Mashable.

Notas relacionadas

Vulnerabilidad Heartbleed OpenSSL revela los verdaderos costos del código abierto (en inglés)

La lista de Heartbleed: Las claves que debes cambiar ahora mismo (en inglés)

El robo de contraseñas o qué hacer para no perder la cabeza

Redes Wi-Fi: Lo que nadie te contó sobre tu privacidad

1 comentario en “Vulnerabilidad Heartbleed. ¿De qué se trata?”

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.