Conecta con nosotros

Noticias

Vulnerabilidad OpenSSL Heartbleed, la más grave de la historia de la Web

Publicado

el

Heartbleed

Ingenieros de Google y de la firma de seguridad Codenomicon han descubierto una grave vulnerabilidad en el sistema de administración de cifrado OpenSSL, muy utilizado para accesos seguros en sitios HTTPS y por defecto para el cifrado de servidores Apache o nginx.

Denominada como Heartbleed, dicen que puede ser la vulnerabilidad de mayor alcance de la historia de la Web ya que podría alcanzar a dos tercios de servidores de Internet que usan este paquete de administración y bibliotecas de cifrado.

El bug permitiría a un pirata informático superar el cifrado y leer la memoria de los sistemas protegidos por las versiones vulnerables de OpenSSL, accediendo a datos protegidos, comprometiendo comunicaciones en aplicaciones de correo electrónico, mensajería instantánea, redes privadas virtuales o sitios web, obteniendo nombres y contraseñas de acceso, tarjetas de crédito y todo tipo de datos.

Una vulnerabilidad muy seria por su amplio alcance, que ya está corregida en la última versión del software OpenSSL 1.0.1g a la que se recomienda encarecidamente actualizar desde las todavía vulnerables versiones 1.0.1 hasta la 1.0.1f. También revocar certificados SSL que se hubieran visto afectados, actualizar distribuciones GNU/Linux y aplicaciones que incluyen  OpenSSL y el software de los servidores. Algo que está en marcha en medio mundo.

Aunque la vulnerabilidad está presente al menos hace dos años, no se conoce su grado de explotación. Parece mínimo o nulo porque si no nos hubiéramos enterado (pero bien) ante su potencial. En lo positivo, destacar la prontitud de la liberación de la versión corregida, algo habitual en software libre. Red Hat, Debian, SuSE, Canonical, y Oracle, por citar solo algunas, trabajan a un ritmo febril para ofrecer las versiones parcheadas de OpenSSL a sus clientes. Algo que estaría disponible en horas como la corrección para OpenSSL 1.0.2 también vulnerable que será actualizada a la 1.0.2 beta2.

En lo negativo (además de la vulnerabilidad en sí) llegan críticas por el anuncio público del bug cuando desde OpenSSL y otras grandes firmas ya se estaba trabajando en su corrección. Un intervalo que podría haber sido aprovechado para sembrar el caos en la Web por la presencia de OpenSSL, utilizado en dos tercios de servidores de Internet.

Lo más leído