Un agujero recientemente descubierto en la tecnología usada para la encriptación en la web permitió que los datos de muchos sitios importantes hayan quedado vulnerables al robo por parte de "hackers".

Algunos expertos advierten que es una de las brechas de seguridad más graves de los últimos años.

El hallazgo de esta debilidad del sistema, llamada "Heartbleed" por parte de investigadores de Google y la pequeña firma de seguridad finlandesa Codenomicon, llevó al Departamento de Seguridad del Gobierno de los Estados Unidos a alertar a las empresas esta semana para que revisaran sus servidores para comprobar si usan versiones vulnerables de un software conocido como OpenSSL.

Esta vulnerabilidad podría permitir a los agresores remotos acceder a datos delicados como contraseñas y claves secretas que pueden decodificar el tráfico en su recorrido por Internet.

"Hemos probado algunos de nuestros propios servicios desde la perspectiva del hacker. Nos atacamos a nosotros mismos desde fuera, sin dejar rastro", dijo Codenomicon en una web construida para proporcionar información sobre la amenaza (www.heartbleed.com).

Expertos en seguridad informática consultados por este medio advirtieron que las víctimas no pueden decir si se han tenido acceso a sus datos, lo que es preocupante porque el agujero existe desde hace aproximadamente dos años.

¿Qué es Heartbleed?Nicolás Ramos, Senior Manager de la división Advisory de Ernst & Young, explicó a iProfesional que esta vulnerabilidad afecta principalmente a aquellos sitios web, soluciones de correo electrónico, servicios de chat e incluso redes privadas virtuales (VPN) que utilizan OpenSSL. 

"Una página de Internet que posee esta falla puede permitir a un individuo sin autorización la obtención de información sensible de usuarios que se encuentran utilizando el sitio afectado. Por ejemplo, la clave de inicio de sesión, para luego utilizar su identidad y hacerse pasar por el titular", precisó.

Santiago Pontiroli, Security Researcher, Global Research and Analysis Team en Kaspersky Lab Argentina, advirtió ante  iProfesional que mediante este agujero “el atacante puede obtener información como nombres de usuario, contraseñas e inclusive las propias claves privadas utilizadas entre el cliente y el servidor”.

Joel Bo, gerente de Operaciones de Trend Argentina, describió a este medio que SSL es una tecnología utilizada para proteger los datos que se transmiten a través de Internet.

Visualmente se representa por el famoso “candado” de los navegadores, que indican al usuario que la información que transmite estará protegida. 

Bo señaló que existen distintas implementaciones de SSL, por lo que están afectados los sitios que usan determinadas versiones de OpenSSL, como lo hacían Yahoo y Google entre otras grandes empresas de Internet.

Raphael Labaca Castro, coordinador de Awareness & Research de ESET Latinoamérica, destacó a iProfesional que la vulnerabilidad permite que, de forma remota, un atacante pueda leer 64 KB de información en la memoria del servicio, y tener acceso a cualquier contenido crítico allí alojado, como credenciales del sistema, tokens, certificados, etcétera. 

Labaca Castro apuntó que “si un usuario accede a un sitio vulnerable y un hacker se encuentra dentro de la misma red, éste podría realizar un ataque llamado Man In The Middle (MITM). Así, podría leer datos confidenciales como credenciales o ‘cookies’ de sesión que le permitirían suplantar a la persona titular dentro de dicho sitio”.

Panorama argentinoRamos estimó que el sistema afectado “se encuentra instalado en un 50% de los sitios web que brindan conexiones seguras conocidas como HTTPS, siendo este porcentaje similar para las páginas de Argentina”.

El especialista de Ernst & Young señaló que en el país se puede “encontrar esta vulnerabilidad en portales de bancos (banca virtual), de compra y venta en línea, de obras sociales e, incluso, servicios web gubernamentales”.

Bo agregó: “Los argentinos no somos la excepción y cualquiera que utilice sitios afectados está expuesto”.

“No hay realmente algún motivo por el cuál esto pueda tener mayor o menor impacto en la Argentina que en resto del mundo”, advirtió Marcelo Mayorga, gerente de ingeniería de Fortinet Cono Sur, en declaraciones a iProfesional.

Como OpenSSL es una de las librerías más utilizadas en criptografía, “podemos decir -apuntó Mayorga- que prácticamente todo tipo de servicio puede estar afectado, ya que no está limitado sólo a servicios web, sino también a portales de compra, aplicaciones en teléfonos móviles, equipamiento de redes, seguridad, entre otros”.

Labaca Castro sumó a los afectados a “los sitios que estén alojados en servidores como Apache o Nginx, que utilizan por defecto OpenSSL en las versiones 1.0.1 a 1.0.1f inclusive”.

En este link es posible consultar una lista de los dominios conocidos que quedaron al descubierto en algún momento. “Algunos de ellos ya son seguros otra vez, pero es complicado determinar el alcance de la fuga de información en cada caso”, aclaró el especialista de ESET.

Correctivos y prevenciones¿Cómo se puede saber si una página o un servicio basado en Internet que una persona u organización utiliza están afectados por esta brecha? Para Ramos, “en primer lugar hay que conocer si el servicio brinda seguridad a través de la solución criptográfica OpenSSL. Si la versión no ha sido corregida seguramente está afectada”.

Para más información acerca de la versión afectada se puede consultar el sitio web del fabricante del software afectado.

Bo señaló que existen distintas herramientas para comprobar las páginas en tiempo real como http://filippo.io/Heartbleed/ o https://lastpass.com/heartbleed/

“Sin embargo –advirtió-, para el usuario común interpretar estas herramientas puede no ser sencillo”.

¿Qué medidas deben tomar las personas y las organizaciones para enfrentar esta brecha? “No pueden hacer nada para solucionar el problema”, afirmó Bo.

“Son los dueños de los servicios web quienes deben corregir el problema implementando un parche. No se sabe si este error, que fue introducido hace dos años, fue utilizado con intenciones maliciosas. Pero como medida precautoria los usuarios pueden actualizar sus contraseñas sólo después de que el sitio haya solucionado su plataforma ya que, de lo contrario, su nueva clave también quedaría expuesta", afirmó el ejecutivo de Trend.

“La buena noticia es que la gran mayoría de los sitios, especialmente los más populares o de servicios críticos como los financieros, están corrigiendo rápidamente el error debido a la gravedad de la brecha de seguridad a la que quedaron expuestos”, afirmó. 

Por lo tanto, sugirió el especialista de Trend, “se debe esperar unos días a que al menos los sitios más populares estén actualizados y luego cambiar nuestras contraseñas. Durante ese periodo no queda más que estar atentos a cualquier actividad sospecha en nuestras cuentas”.

Mayorga afirmó que los proveedores (los administradores de sitios web, por ejemplo) deben “asegurar que los servicios que brindamos no se vean afectados y esto inevitablemente terminará en actualizar la librería de OpenSSL por una que no sea vulnerable a este ataque”. 

En el caso de los usuarios, “las recomendaciones son verificar los sitios y servicios en los que estemos ingresando información confidencial para asegurar que no sean vulnerables”.

En ambos casos, según el ejecutivo de Fortinet, “tanto como consumidores y proveedores, también es bueno cambiar contraseñas y llaves privadas en aquellos servicios que pudieran haber sido afectados. Claro, esto sólo luego de que sean reparados para no sufrir el potencial robo de información nuevamente”, apuntó, en coincidencia con Bo.

Marcos Nehme, director de la división técnica para América Latina y el Caribe de la empresa RSA, recordó ante iProfesional que su programa Security Analytics ofrece a los usuarios la capacidad de identificar los servidores vulnerables a Heartbleed, así como detectar los intentos de aprovechar el servicio.

También sugirió que “para remediar plenamente esta vulnerabilidad, se debe mejorar los sistemas débiles a la última versión fija de OpenSSL y revocar claves antiguas. Renovar el certificado SSL y si aplicable, cambiar las contraseñas de las cuentas sensibles”.

Pontiroli trazó la siguiente hoja de ruta para las organizaciones:

• Revisar los archivos de log, registros de IPS e IDS en busca de cualquier anomalía y filtrado de información.
• Actualizar OpenSSL a la última versión o desactivar la funcionalidad de heartbeat si no se puede cambiar de versión por el momento. Se puede recompilar el software utilizando el flag OPENSSL_NO_HEARTBEATS.
• Revocar cualquier certificado afectado.
• Emitir nuevamente los certificados necesarios.

En el caso de los usuarios, el especialista de Kaspersky recomendó que “una vez que las organizaciones hayan actualizado sus sistemas deben cerrar sus sesiones en curso y resetear sus contraseñas. Como siempre, lo mejor es utilizar una contraseña única por sitio y que la misma cumpla con los requisitos mínimos de seguridad”.