Heartbleed no es un virus, ni tampoco un gusano, que son las amenazas de seguridad informática a las cuales estamos acostumbrados. Nos protegemos de ellas simplemente teniendo un antivirus y un sistema operativo actualizado (Windows, por ejemplo). En otras palabras, normalmente lo que tiene un problema de seguridad es nuestro computador. Pero en este caso, es totalmente diferente, son los computadores (servidores) de las grandes compañías los que tienen el problema, compañías como Google, por ejemplo.
No se sabe cuantos y cuales sitios han sido afectados, pero han sido bastantes. Personalmente, creo que más de uno ya es demasiado, aquí hay una lista de los principales sitios afectados.
Ahora entendamos cómo es que tantas compañías fueron afectadas. Un programa informático que es gratuito y de código abierto (creado y mantenido por un grupo de personas independientes) llamado OpenSSL es la causa.
Dado que era gratuito y además considerado de lo más seguro, miles o hasta millones de empresas decidieron utilizarlo para cifrar las conexiones entre nuestros computadores y los de ellos (según la RAE, cifrar se define como: Transcribir en guarismos, letras o símbolos, de acuerdo con una clave, un mensaje cuyo contenido se quiere ocultar). Cada vez que en nuestro navegador web poníamos www.gmail.com y luego escribíamos nuestra contraseña, el programa OpenSSL, en los servidores de Gmail, se encargaba de cifrar el diálogo que existía entre nuestro computador y el de Google, para que nadie más (otros computadores o personas conectadas al Internet, por ejemplo) puedan ver cuál es nuestra clave o el contenido de nuestros correos electrónicos. Pero como suele suceder con programas informáticos, OpenSSL tenía un error, este error recientemente descubierto y bautizado Heartbleed permitía a otras personas ver el contenido de la conversación supuestamente cifrada entre nuestro computador y el de Gmail por ejemplo, esta conversación contiene nuestra contraseña y nuestros emails, en este caso.
Como puedes ver, nosotros como individuos no podemos hacer nada en nuestros computadores personales para subsanar esta vulnerabilidad, pero lo que si podemos hacer es lo siguiente:
- Una vez el proveedor de servicios (Banco, Email, Tienda, etc.) confirme que han configurado en sus servidores la última versión de OpenSSL, la cual no contiene el error, cambiar nuestras contraseñas lo antes posible.
Algunas empresas son muy abiertas y honestas confesando que tienen el problema e informan a todos sus clientes o suscriptores por email acerca de los riesgos, y también confirman cuando ya han subsanado el problema, y que uno debe cambiar la contraseña; no ignoremos estos mensajes y cambiemos nuestras contraseñas.
- También podemos analizar si un sitio tiene el problema o no usando esta herramienta, y si lo tiene, contactarlo y exigir que lo arreglen o cerrar nuestra cuenta.
Como ven, este incidente de seguridad es único y creo que cambiará la historia de la seguridad informática.
Feliz fin de semana cambiando sus contraseñas!
Muy buena e informativa la nota. Gracias!
ResponderBorrar