Heartbleed es el nombre de una de las vulnerabilidades más peligrosas de la era de internet. Esta vulnerabilidad comprometía la seguridad de todos los servidores que utilizaban esta aplicación de manera que mediante una solicitud modificada se podían llegar a obtener datos personales, contraseñas e incluso claves de cifrado que permanecían residentes en la memoria del servidor en cuestión. Pocas horas después de reportarlo fue solucionado, aunque es tarea de los administradores web el actualizar sus sistemas lo antes posible para garantizar la seguridad.
Según un grupo de hackers, una nueva vulnerabilidad similar podría haber aparecido dentro de la última versión de OpenSSL, la que concretamente se lanzó para solucionar Heartbleed.
Este grupo de piratas informáticos está llevando a cabo una campaña en la que vender su hallazgo y lucrarse con ello. El primer sitio donde se han publicado es en Pastebin, donde han escrito parte de la información sobre la vulnerabilidad y han anunciado su venta. También se han anunciado en una serie de foros chinos, aunque estos usuarios no terminan de convencerse de dicha vulnerabilidad.
La principal razón por lo que esto podría tratarse de una estafa es que este grupo de piratas informáticos hace alusión a una variable llamada «DOPENSSL_NO_HEARTBEATS«. Según los desarrolladores de OpenSSL, esta variable no existe o, por lo menos, la D inicial no pertenece a la variable en cuestión, por lo que es muy probable que todo lo publicado sea falso. También varios usuarios chinos afirman que, tras analizar el código, esa variable no existe y la supuesta nueva vulnerabilidad de OpenSSL es totalmente falsa.
Los hackers están dispuestos a vender toda la información por 2.5 Bitcoin o 100 Litecoin al mejor postor, por lo que de ser esto cierto si la vulnerabilidad cae en malas manos se podría comprometer seriamente la seguridad.
Los expertos en seguridad que han analizado esta cuestión dudan de estas afirmaciones, aunque está claro que es un hecho que no se puede pasar por alto y que será investigado en profundidad para concretar si se trata efectivamente de una nueva vulnerabilidad o simplemente este grupo de hackers busca «meter miedo y estafar» a los usuarios de internet.
¿Crees que existe una nueva vulnerabilidad en OpenSSL?
Fuente: Softpedia