Hace poco más de una semana se ha descubierto una vulnerabilidad dentro del módulo de cifrado de conexiones OpenSSL denominada Heartbleed. Esta vulnerabilidad en cuestión comprometía la seguridad de los usuarios ya que podía permitir a un atacante solicitar a un servidor una cadena de datos más larga de lo normal que podía llegar a contener contraseñas y claves privadas de cifrado de los usuarios.
Según el Instituto Nacional de Tecnologías de la Comunicación (INTECO), pese a la gravedad de la vulnerabilidad, su expansión y el número total de páginas web españolas que se han visto afectadas por ella no es tan amplio como se hacía pensar en un principio y únicamente ha afectado al 1.38% de las páginas web españolas con dominio .es.
Las razones por las que en España esta vulnerabilidad no ha afectado a tantos equipos son, en primer lugar, la negación de los empresarios y de los técnicos informáticos a utilizar software libre en sus servidores. Microsoft no utiliza OpenSSL, por lo que todos los sistemas que ejecutan este software no se han visto afectados. La segunda razón por la que no ha afectado es que, aquellos servidores que sí que utilizan este software, utilizaban una versión bastante antigua y obsoleta que aún no se había visto afectada por la vulnerabilidad Heartbleed por lo que, en cierto modo, permanecían seguros.
INTECO informa que la vulnerabilidad de OpenSSL únicamente ha expuesto nuestras contraseñas desde el día 7 de abril ya que, aunque la vulnerabilidad lleva 2 años presente, hasta dicha fecha no se conocía. Para que los datos de un usuario puedan ser robados, se ha tenido que acceder a la web afectada en cuestión con un margen de 3 meses para que nuestros credenciales se almacenaran en la memoria temporal del sistema.
Poco a poco se siguen actualizando los servidores para garantizar su seguridad y su privacidad. En poco tiempo podremos volver a tener la absoluta certeza de que nuestras conexiones vuelven a ser completamente seguras de cara a OpenSSL aunque es recomendable cambiar la contraseña si hemos accedido a una plataforma afectada por Heartbleed para evitar cualquier ataque hacia el servidor.
Fuente: Inteco