Vulnerabilidad Heartbleed. ¿De qué se trata?

Photo by Markus Spiske on Unsplash

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

 

vulnerabilidad-heartbleed-de-que-se-trata_001

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

 

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

 

Recomendaciones para usuarios

Read moreVulnerabilidad Heartbleed. ¿De qué se trata?

Redes Wi-Fi: Lo que nadie te contó sobre tu privacidad

Photo by Markus Spiske on Unsplash

Hace algunos días Apple emitió una alerta de seguridad tras descubrir que Safari, su explorador de internet, se encontraba en riesgo.

Gracias a un error en el método de cifrado, los datos enviados a través de Safari y que debían estar protegidos bajo el protocolo SSL, simplemente eran enviados sin codificar.

Para llevarlo a un punto entendible, el protocolo SSL (Secure Socket Layer, por sus siglas en inglés) se encarga de cifrar los datos intercambiados entre dos equipos (normalmente cliente/sevidor), asegurando que la información no pueda ser leída por nadie durante el tiempo que dure la comunicación.

Vamos a poner el ejemplo del banco, al que accedemos via web para consultar el estado de nuestras cuentas. Luego de escribir nombre de usuario y contraseña, nuestro navegador se presenta al servidor remoto (en este caso el banco) con quien negocia el algoritmo a utilizar. Tras validar la autenticidad del certificado del servidor, utiliza su clave pública para generar una clave maestra que será enviada al servidor remoto. Éste utilizará su clave privada para decodificarla y, a partir de ahora, intercambiará mensajes cifrados con la clave maestra.

Cada paquete enviado o recibido debe estar cifrado con ella para evitar que quien intercepte la comunición pueda acceder a los datos. La siguiente imagen explica el proceso completo, en inglés:

Read moreRedes Wi-Fi: Lo que nadie te contó sobre tu privacidad

El robo de contraseñas o qué hacer para no perder la cabeza

Photo by Markus Spiske on Unsplash

Durante la tarde de ayer, Yahoo!, uno de los pioneros en servicios de internet, sufrió intentos de acceso no autorizados a un número no revelado de cuentas de su servicio de correo electrónico basado en la web Yahoo! Mail.

Según indicó mediante un comunicado de prensa Jay Rossiter, Vice Presidente Senior de Plataformas y Personalización de Productos de la compañía con sede en el Silicon Valley, no existe evidencia de que los datos de inicio de sesión (nombres de usuario y claves) hayan sido obtenidos directamente de Yahoo!. Hasta el momento la sospecha más firme es que corresponden a información robada a terceros con anterioridad.

Con el objetivo de proteger a sus usuarios del acceso no autorizado, Yahoo! decidió resetear las contraseñas de las cuentas comprometidas y activar la verificacion de doble factor.

La actualidad

Lo cierto es que cada vez predomina más el robo -o la pérdida- de datos de usuarios. Entre los casos más recientes puedo mencionar:

    • Noviembre/2013: La compañía de seguridad informática Trustwave reveló la existencia de un virus diseminado en millones de equipos hogareños a lo largo de todo el planeta que enviaba los datos de inicio de sesión de los usuarios a servidores remotos. La totalidad de usuarios y contraseñas, que ascendió a 2 millones, estaba compuesta por 318.000 cuentas de Facebook, 70.000 cuentas de Google (incluyendo Gmail, YouTube y Google+), 60.000 cuentas de Yahoo!, 22.000 cuentas de Twitter, 8.000 cuentas de LinkedIn y 17.000 cuentas de otros servicios menos populares.
    • Octubre/2013: Adobe sufrió el robo de más de 38 millones de contraseñas, entre las que se encontraban “123456”o “123456789” como las más utilizadas.

Read moreEl robo de contraseñas o qué hacer para no perder la cabeza

Cómo recuperar el acceso a mi cuenta de Outlook.com y no morir en el intento

Photo by Markus Spiske on Unsplash

como-recuperar-el-acceso-a-mi-cuenta-de-outlook-com_004Hola amigos! Si bien esta temática la hemos tratado anteriormente, la última semana he recibido muchos mensajes con pedidos de aydua de amigos y conocidos que perdieron el acceso a sus cuentas de Outlook.com (Hotmail, MSN, Live, etc.).

Como imagino no habrán sido los únicos, les dejo a continuación los pasos a seguir en caso de haber perdido el acceso a sus cuentas de Outlook.com:

1. Intentemos iniciar sesión en Outlook.com. Si recibimos un mensaje indicando que el nombre de usuario y/o la contraseña ingresada son incorrectos, vayamos directo al paso número 2.

2. Hacemos clic en el enlace ¿No puedes acceder a tu cuenta?, justo debajo del botón de Inicio de sesión.

Read moreCómo recuperar el acceso a mi cuenta de Outlook.com y no morir en el intento

Cómo activar la verificación de dos pasos en Outlook.com

Photo by Markus Spiske on Unsplash

Hola amigos! En la entrega anterior configuramos las opciones de Seguridad y Restablecimiento de cuenta en Outlook.com.

En esta entrega activaremos y configuraremos la verificación de dos pasos en Outlook.com. Este nuevo mecanismo hará que el sistema de inicio de sesión nos solicite un código de seguridad luego de ingresada nuestra contraseña.

El código puede ser enviado a nuestro teléfono celular via mensaje de texto, a una dirección de correo electrónico alternativa o generado mediante una aplicación autenticadora (disponible en la mayoría de los smartphones), reduciendo la posibilidad de que nuestra cuenta sea vulnerada.

¡Manos a la obra!

Read moreCómo activar la verificación de dos pasos en Outlook.com

Cómo configurar las opciones de Seguridad y Restablecimiento de cuenta en Outlook.com

Photo by Markus Spiske on Unsplash

Hola amigos! En esta entrega trabajaremos sobre la configuración de las opciones de Seguridad y Restablecimiento de cuenta en Outlook.com.

Muchos son los motivos por los que podemos perder el acceso a nuestra cuenta de Outlook.com (Hotmail, MSN, Live, etc.). Lo más importante ante esta situación, es haber cargado con anterioridad todos los datos necesarios para un restablecimiento efectivo de contraseña.

1. Para ello, iniciaremos sesión en Outloook.com y, una vez en la bandeja de entrada, haremos clic sobre nuestro nombre, en la esquina superior derecha de la pantalla. Luego, clic en Configuración de la cuenta.

2. Se abrirá una nueva pestaña con toda la información de nuestra cuenta de Outlook.com. Allí haremos clic en el enlace Información de seguridad, en la barra de navegación izquierda.

3. Lo primero que haremos será cargar un número de teléfono. Este número permitirá que Microsoft se ponga en contacto con nosotros en caso que hayamos perdido el acceso a nuestra cuenta. Presionamos el botón Agregar y configuramos el método de contacto.

Read moreCómo configurar las opciones de Seguridad y Restablecimiento de cuenta en Outlook.com

Continúa el ataque masivo a cuentas de Hotmail

Photo by Markus Spiske on Unsplash

Queridos lectores,

Hace ya algunos días, Microsoft había dado a conocer un alerta sobre la cantidad de casos de robo de contraseñas que estan sufriendo los clientes del servicio gratuito de correo Windows Live Hotmail o Hotmail.

Al respecto, y desde el comienzo del inconveniente, se ha destacado que no se trata de una vulnerabilidad en el servicio ni una revelación de información, sino de un ataque del tipo Phishing a los usuarios afectados.

Recordemos que el Phishing es aquella maniobra malintencionada que utilizan los atacantes para lograr que sus víctimas revelen sus contraseñas y claves, de forma tal que ellos sean los responsables de haber facilitado la información.

Comunicado oficial

Read moreContinúa el ataque masivo a cuentas de Hotmail

Nunca reveles tus contraseñas

Photo by Markus Spiske on Unsplash

Queridos lectores,

Hace algunos días he leído en una edición del boletín LaFlecha, periodismo de renombre en el mercado IT de habla hispana, dirigido por mi colega Sarah Romero, una nota en la que se hacía referencia a un caso de intento de violación a la privacidad, ocurrido en los Estados Unidos.

Al respecto, el artículo comentaba:

Bozeman, Montana, Estados Unidos. La alcaldía de la ciudad estaba buscando cubrir un puesto público y por lo tanto llamó a aspirantes, los cuales debían llenar un formulario. Parte de los datos solicitados eran los accesos (nombre de usuario y contraseña), a tres redes sociales (Facebook, MySpaces, YouTube).

Esto generó fuertes quejas, las que motivaron a los medios a investigar dicho asunto. Como respuesta, el asistente del alcalde expresó la siguiente excusa para la solicitud de tales datos: “Antes de dar al solicitante un cargo público de confianza, somos responsables de haber investigado su pasado.”

Invasión a la privacidad o investigación de antecedentes?

Read moreNunca reveles tus contraseñas