Web Analytics
Conecta con nosotros

Noticias

Vulnerabilidad OpenSSL Heartbleed, la más grave de la historia de la Web

Publicado el

Heartbleed

Ingenieros de Google y de la firma de seguridad Codenomicon han descubierto una grave vulnerabilidad en el sistema de administración de cifrado OpenSSL, muy utilizado para accesos seguros en sitios HTTPS y por defecto para el cifrado de servidores Apache o nginx.

Denominada como Heartbleed, dicen que puede ser la vulnerabilidad de mayor alcance de la historia de la Web ya que podría alcanzar a dos tercios de servidores de Internet que usan este paquete de administración y bibliotecas de cifrado.

El bug permitiría a un pirata informático superar el cifrado y leer la memoria de los sistemas protegidos por las versiones vulnerables de OpenSSL, accediendo a datos protegidos, comprometiendo comunicaciones en aplicaciones de correo electrónico, mensajería instantánea, redes privadas virtuales o sitios web, obteniendo nombres y contraseñas de acceso, tarjetas de crédito y todo tipo de datos.

Una vulnerabilidad muy seria por su amplio alcance, que ya está corregida en la última versión del software OpenSSL 1.0.1g a la que se recomienda encarecidamente actualizar desde las todavía vulnerables versiones 1.0.1 hasta la 1.0.1f. También revocar certificados SSL que se hubieran visto afectados, actualizar distribuciones GNU/Linux y aplicaciones que incluyen  OpenSSL y el software de los servidores. Algo que está en marcha en medio mundo.

Aunque la vulnerabilidad está presente al menos hace dos años, no se conoce su grado de explotación. Parece mínimo o nulo porque si no nos hubiéramos enterado (pero bien) ante su potencial. En lo positivo, destacar la prontitud de la liberación de la versión corregida, algo habitual en software libre. Red Hat, Debian, SuSE, Canonical, y Oracle, por citar solo algunas, trabajan a un ritmo febril para ofrecer las versiones parcheadas de OpenSSL a sus clientes. Algo que estaría disponible en horas como la corrección para OpenSSL 1.0.2 también vulnerable que será actualizada a la 1.0.2 beta2.

En lo negativo (además de la vulnerabilidad en sí) llegan críticas por el anuncio público del bug cuando desde OpenSSL y otras grandes firmas ya se estaba trabajando en su corrección. Un intervalo que podría haber sido aprovechado para sembrar el caos en la Web por la presencia de OpenSSL, utilizado en dos tercios de servidores de Internet.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

44 comentarios
  • pepelopez

    «destacar la prontitud de la liberación de la versión corregida, algo habitual en software libre».
    Me quedo con eso porque el bug este es la leche. Podrían haber clonado cualquier sitio, comercial o financiero.

  • Leonmafioso

    Y que nos garantiza que no lo hayan hecho?

  • roader

    La culpa a los de OpenBSD , todos los programas tienen vulnerabilidades , pero solo en Software libre e visto una vulnerabilidad corregida 2 horas despues de ser descubierta.

  • Cito del artículo:

    «Aunque la vulnerabilidad está presente al menos hace dos años, no se conoce su grado de explotación.»

    Cuéntame más.

  • En Fayerwayer dicen que esto no afecta a Windows porque Windows no usa OpenSSL, pero si usas aplicaciones que lo usen puedes verte afectado.

    ¿Alguien sabe que aplicaciones de Windows usen OpenSSL?

  • David Salazar

    ahahahaahaha

  • Menos mal que no es Apple quien maneja el cotarro, porque esos pueden llegar a tardar 2 años en corregir cualquier cosa.

  • Matt

    Steam

  • ¿Solamente? Uffff, como no juego, estoy a salvo entonces.

  • Software libre de que ?

    Pero pero… Es software libre y el software libre es invulnerable porque hay una comunidad detras comprobando el codigo dia y noche y, y, y….
    Jajajajajajaja que os lo habeis creido pardillos jajajajaja
    2 años con la vulnerabilidad !! A tomar x saco !! A saber la de cosas que habran hecho durante tanto tiempo…
    Que lo han arreglado en 2 horas ? Queeeee ? No te enteras ? 2 años con ese fallo, y eso es lo que nos cuentan. A saber en realidad cuanto tiempo lleva eso asi.
    Software libre mis polainas.
    Comprarias un coche «libre» ? Dejarias tú vida en mano de unos médicos «libres» ?
    Quién garantiza que la versión parcheada » libre» no contenga otro fallo ? Que ? La generosa comunidad que trabajan by the face ? Jajajajaja jajaja jajaja la misma que se le escapó este fallo durante más de dos años ? Venga ya !!!

  • Luis Llorent

    ¿Te han robado tus cuentas?¿No?.Pues ya está.

  • marcos medina

    lo que dicen los fanáticos anti linux es increíblemente estúpido, man, todos los software son vulnerables TODOS, espera unas semanas mas y te vas a enterar de las vulnerabilidades que tiene XP desde hace DOCE años y que ni se van a corregir, ademas, no importa que desktop uses, si usas internet, cagaste, porque los infectados fueron los servidores, y te guste o no, la mayoria 2 de 3 usa software libre, osea que tu internet esta en manos libres, osea que alguien puede que ya tenga tus datos, que absurdo, tengo windows mis datos no estan comprometidos, man, lee la noticia, SERVIDORES de internet, osea que todos estamos en peligro

  • Jordi

    Eso no tiene nada que ver. Yo puedo tener tu contraseña del email e ir «revisándote» la bandeja de entrada de vez en cuando sin que tú te des cuenta.

    Si tú obtienes una contraseña de una cuenta que no es tuya, lo que te interesa es ver la información que hay (por eso te has molestado en obtener dicha contraseña).
    Que mejor manera de mantener esa fuente de información hay que no sea pasar desapercibido para el usuario afectado?

  • roader

    O decir que fue por diseño XD.

  • Gonzalo Nandez

    Prefiero mil veces la comunidad libre donde si hay un fallo te enteras y no las empresariales que tambien tienen sus fallos y lo ocultan para cobrarte mas.
    En cuanto a coches libres ¿Cual seria el problema? ¿Medicos libres? Hay un monton por el tercer mundo ayudando.
    Lo que habria que hacer aqui es cobrarte €5 por escribir ya que no te gusta lo libre.
    Saludos

  • kornival

    Eso no es nada, han tenido agujeros de seguridad en visores de documentos, agujeros en el kernel que dan (o daban) acceso root, pululando durante años y te venden que los tapan en 2 horas. Siempre la misma batalla

  • Estaba por decir que concuerdo, pero Jordi tiene un punto muy válido, si bien es cierto, como dices, no hay un perjuicio directo, pero como dice él este perjuicio se puede causar de muchas maneras.

  • Gonzalo Nandez

    Windows y apple no los han tenido???. Cuantos meses tardan en arreglar sus errores??

  • kornival

    Pero no verás a un usuario de Windows meterse en páginas de Linux vendiéndote la película de la seguridad.Todos los meses me llegan al menos tres tandas de actualizaciones, las últimas que instalé fueron del día 31 y antes el día 20, ahora acabo de hacer una búsqueda y hay cuatro actualizaciones, por lo que deduzco que las actualizaciones críticas para el sistema tardan lo mismo que en Linux, día mas día menos.

  • Quemasda

    Hola.

    Deduces mal. Muchas actualizaciones críticas «esperan» al Martes de Actualizaciones. Incluso avisan a los malos para que sepan hasta cuándo pueden actuar sin problemas. Pongo dos ejemplos pero pueden ser mil.

    http://www.fayerwayer.com/2011/04/microsoft-parchara-64-vulnerabilidades-el-proximo-martes/

    http://blog.auditoria.com.mx/2013/11/microsoft-no-publicara-este-martes-parche-de-vulnerabilidad-dia-cero-atacada-en-office/

  • Quemasda

    Lo que se «vende» en realidad es que las vulnerabilidades se tapan muy pronto …… pero contando a partir de haber sido descubiertas. ¿Cómo van a tapar una vulnerabilidad si no se conoce? ¿Con el condensador de Fluzo?

    Más exagerado fue el coladero del «Autorun» de Windows, que se sabía desde hacía años antes de parchearse. Luego el parcheado nos lo vendieron como un enorme avance en seguridad.

    Lee la historia tal como la cuentan aquí:

    http://unaaldia.hispasec.com/2011/03/autorun-en-windows-se-acerca-el-fin-de.html

    http://unaaldia.hispasec.com/2009/05/microsoft-mejora-la-de-windows-7.html

    Y cómo la cuentan aquí:

    http://www.cnet.com/news/microsoft-declares-a-victory-against-autorun-malware/

    En fin ….. T_T

  • Yo ni mencioné a Linux.

  • kornival

    Pues mas a mi favor, aunque eso de los «martes de actualizaciones» no quiere decir que todos los martes las haya (críticas). Pero te aseguran semanalmente al menos que tu sistema está actualizado y parcheado. Algo parecido tienen por Linux y sus unnatended pero sin el problema de poder joder el sistema. Porque son mil y una veces las que he visto gente tirarse de los pelos por haber actualizado sus linux automáticamente y haberlo cagado en vez de arreglarlo.
    ¿Sabes quien es Kevin Mitnick?, supongo que si. Según sus palabras un sistema es mas inseguro mientras el número de parches sea mayor ya que un simple actualización puede crear varios agujeros de seguridad.

  • kornival

    ¿Esa del autorun es comparable a esta funcional en la actualidad?

    http://www.muylinux.com/2011/02/10/linux-vulnerable-a-gusanos-residentes-en-llaves-usb

    Curioso mas que nada que las publicaciones se centraran en Windows, cuando Linux también era vulnerable a ataques con llaves USB.

  • Quemasda

    Lo he leído antes y es como la Ley de Murphy, que a veces es cierta y a veces se te cae la tostada por la parte del pan. Por esa regla de tres, W95 debe ser super-seguro porque ya no se publican parches para él. ^_^.

    Lo peor de los boletines de seguridad es que dan una ventana segura donde sabes que la vulnerabilidad va a seguir activa. Como tengas el exploit a mano, tiempo libre y un objetivo claro ……

    Lo de las actualizaciones «chungas» de Linux las he vivido, aunque ninguna de forma dramática, para eso están la gaseosa y las máquinas virtuales, …. ^_^

    De hecho ahora estoy experimentando con la Beta de Xubuntu 14.04 (de momento, bien), También tengo un Antix Unstable en un pendrive de pruebas. (hablando de pruebas, ya me contarás cómo de va con LMMS)

    Las actualizaciones son como las rectificaciones (de hecho, son eso), son mejores que no rectificar, pero a veces tambien te equivocas rectificando. pero eso se soluciona ….. ¡¡¡ rectificando de nuevo !!!.

  • alx

    Bien trabajo como
    desarrollador del software a nivel de kernel y te digo toda
    modificación que se hace a un software en cualquier sistema
    operativo conllevara a nuevas condiciones/características/agujeros
    de seguridad/imprevistos que por mucho estudio que se haga pueden
    pasar por desapercibidas y solo cunado esta en un entorno real donde
    muchos usuarios pueden probar, el desarrollador se da cuenta de como
    se pudo generar muchas veces por que quien uso la aplicación o un
    nuevo programador no siguió el procedimiento de uso para el cual ase
    efectuó el diseño y documentación, como dicen en los otros
    comentarios puede pasar mucho tiempo asta que alguien encuentre un
    defecto o funcionamiento indebido en determinadas condiciones .

    Eso de que se daña el sistema al actualizar es extraño, deberías comentar que distribución de linux o software presento el inconveniente , es un dato importante que como desarrollador valoro mucho puedes enviar el reporte a los encargados de seguro lo miraran muy detenidamente.

  • Quemasda

    ¿En la actualidad? De la misma noticia:

    «mondie101 hace 3 años
    en Ubuntu, la actualizacion de seguridad, aparecio como hace 3 semanas, y por ende imagino que en el resto de distros de igual manera habra sucedido….con tener el S.O. actualizado, no hay ningun problema,
    lo malo es que a muchos nuevos usuarios que vienen de windows se la repanpinfla el tema, y se creen ( porque se lo han dicho) que linux es invulnerable….»

    Ya te he comentado que todos los sistemas tienen vulnerabilidades, pero unos las tapan antes y otros después. Linux tardó pocas semanas después de descubrirse (se descubrió y se tapó en enero) , y hace tres años.

    https://launchpad.net/ubuntu/+source/evince/2.32.0-0ubuntu1.1

  • kornival

    Es que el tema de los parches y la seguridad es algo relativo al uso que le des a la máquina. Yo no tengo las actualizaciones automáticas conectadas ni en Windows 8.1 ni en Kali, en este último un parche hace mese me dio bastantes problemas, no de seguridad, pero si me hizo perder bastante info. Aunque tampoco era una información digamos comprometedora sino de configuración de escaneado de redes, diccionarios y tal. En Windows sin exagerarte hace al menos 5 años que no tengo problemas de malware de ningún tipo y no tengo ni siquiera antivirus, tan solo el firewall y encima es uno gratuito, aunque si muy bueno y configurable (private firewall), solo cuando veo alguna cosa extraña recurro al Eset online o al Panda. El último que tuve era a cuenta de lo que comentaste antes acerca del autorun, pero fue cosa de solucionarlo (ni siquiera era un gusano) y deshabilitarlo.
    A veces es mas la paranoia del usuario que los ataques que haya podido sufrir, los hay en Linux que actualizan a diario aunque jamás les haya surgido problema alguno.

    El LMMS lo he estado probando y las herramientas me son bastante útiles a nivel de software perfectamente compatibles con plugins como el Guitar Rig y similares que suelo usar, pero aún sigo a la búsqueda de alguno que me permita usar el hardware de M-Audio en cualquiera de los dos (Win o Linux) sin problemas de latencias, para linux no encuentro nada y lo que he probado de otros fabricantes no me sirve o ni siquiera detecta el hardware, en Windows sigo con el lío de las latencias. No es que sea una cosa exagerada son milisegundos pero se nota cuando tocas la cuerda y el sonido no surge en tiempo real, sobre todo si tocas escalas a velocidad alta (120/150 la negra). Se puede usar, pero jode.

  • Quemasda

    Respondo mejor. Lo que hace Linux es montar el USB y abrirlo para ver su contenido, no ejecutar ningún programa. Mejor dicho, sí, el navegador de archivos presenta unas miniaturas de los archivos, y en el caso de los PDF ejecuta para ello un lector de PDFs llamando Evince. Era ese lector el que presentaba una vulnerabilidad que permitía ejecutar código arbitrario. Repito, esa funcionalidad actualmente sólo abre el USB, no ejecuta sus archivos.

    He aprovechado para incluir ese comentario entero (no es mío) para que veas que la mayoría de los linuxeros no vamos por ahí diciendo que linux es invulnerable, sino que es más seguro.

    Saludos.

  • kornival

    En realidad ese problema nunca me surgió a mi, ya que como te comenté en otro post yo no uso las automáticas ni en uno ni en otro. Hace meses y buscando información acerca de las automatizaciones en Linux me encontré con esto y supongo que teniendo en cuenta algunos de los comentarios que he leído en otras webs puede ser que sus problemas hayan surgido a raiz de eso mismo.

    http://itfreekzone.blogspot.com.es/2010/08/actualizaciones-automaticas-de.html

  • Quemasda

    Pues lo siento de verdad. La verdad es que no entiendo mucho de música por ordenador (ni sin ordenador), así que no puedo ayudarte como quisiera.
    ¡Buena suerte!

  • kornival

    No te preocupes, al menos lo tuviste en cuenta y eso es de agradecer. Si sigo sin conseguir nada vendo el hardware y que le den, total, no me costó un duro.

  • kornival

    En realidad el problema no es que ejecutara archivos, sino que presentaba miniaturas en el visor. Y como sabrás dentro de un jpg se puede esconder de todo, hay que tener mala idea. Una imagen por mucho hd que sea si pesa mas de 4 megas es muy sospechosa.
    Aqui tienes otro gusanito que infecta Linux
    http://tecnologiageek.com/dispositivos-conectados-a-internet-basados-en-linux-ampliamente-vulnerables-al-nuevo-gusano/

  • Quemasda

    Lee en tu enlace ¿Lo ves?

    «Para protegerse de la infección por el gusano, Symantec recomienda a los usuarios tomar las siguientes medidas:

    Verifique que todos los dispositivos conectados a la red
    Actualice su software a la última versión»

    Si ya te decía yo que hay que actualizar. Por mi parte me guardo tu enlace que le voy a hacer una auditoría a mi router ^_^

  • kornival

    Es que eso es lógico quemasda yo tengo mi software en su última versión 8.1 update1 o SP1 como quieran llamarlo y mi Linux es 1.0.6 con el kernel 3.12 que creo que es el último. Pero de ahí a actualizar todos los paquetes va un buen trozo, mas aún sin haber comprobado que los últimos parches no dan otro tipo de problemas. Pero eso lo hago incluso con los parches de Windows, ya que no es la primera vez que Microsoft lanza un parche que acaba por joder otra parte del sistema.
    Y esa es otra, mucha gente se cree que solo hay que actualizar los SOs y se olvidan que una de las principales partes de la conexión es el propio router. Incluso se fían de los firewall de las operadoras y yo no estoy muy seguro de que los tengas o en caso de que sea así, de que sirvan de algo. Porque encima es un servicio que cobran los hijoputas, un firewall casi inexistente.

  • kornival

    Y cambiando de tema, el vídeo de mas abajo no tiene desperdicio
    http://tecnologiageek.com/mira-que-pasa-con-fotos-que-subes-a-las-redes-sociales-video/

    Vaya descojono la cara que se le pone al pelirojo de los cojones jajaja

  • Anonimo

    No hay peor ciego que el que no quiere ver…

    Te estan diciendo arriba que tu ordenador no tiene nada que ver! que si usas internet estas en peligro, porque internet son servidores que si usan openssl, tus contraseñas y todo esta en servidores asi que tus datos, los que tienes en facebook, tu gmail y hotmail etcetc todo puede ser pillado y explotado.

    Pero vamos, que si tu quieres, puedes decir eso, que estas a salvo igual duermes mejor xD

  • Manuel Gutierrez

    No paro de leer windowseros (que seguro lo tienen instalado pirata o tienen varios piratas en sus casas) siempre que ven software libre ya para ellos es linux.

    Efectivamente el software libre se arregla más rápido DESDE EL MOMENTO QUE SE DESCUBRE. Como dice por ahí alguno, no se si saben la cantidad de agujeros de seguridad de Windows que mocosoft oculta al usuario (no al hacker claro) pero no es esto una pelea linux-windows como dije …

    http://www.informaniaticos.com/2010/07/microsoft-mantiene-una-politica-de.html

    Conozco cantidad de servidores windows servers con apache! apache usa openssl asi que … sí, esos servidores windows tambien son vulnerables (aunque podrían usar IIS no se que es peor! bueno, sí lo sé es por usar IIS)

    Y como dicen arriba su grado de explotación «Parece mínimo o nulo porque si no nos hubiéramos enterado» igual que nos enteramos cuando Microsoft tuvo que contratar a una empresa de servidores linux … igual se fiaban mas de linux que de sus propios servidores…

    http://www.adslayuda.com/n947-Microsoft-protege-su-sitio-web-con-Linux.html

  • Toda esa información ya la tenían desde que salió lo de PRISM, igual sin importar lo que tuvieras instalado en tu PC, Windows, MacOSX o Linux, ya que lo que estaba en riesgo eran tus datos en línea, y entonces todos los niñatos linuxeros con su cantaleta retrógrada de que con Linux estaban seguros, y cuando se les mencionó lo mismo que ahora me dices salieron con una actitud o muy estúpida o muy ignorante, insistiendo en la misma cantaleta idiota de que por eso usaban Debian, Arch y no sé que mierda, haciendose los sordos o simplemente sacando su boba actitud adolescente de sabiondos, sin entender un pito de lo que se les decía, y apenas fue hace unos meses.

    Ahora que se descubre una falla en sus librerías, resulta que los tercos estamos de este lado.

  • Pingback: Vulnerabilidad en Cloudflare expone a miles de sitios web | NoticiasDeHacking()

  • Pingback: Aumenta el uso de componentes Open Source en aplicaciones privativas » MuyLinux()

  • Pingback: Aumenta el uso de componentes Open Source en aplicaciones privativas | Software libre y Tecnologia()

  • Pingback: Aumenta el uso de componentes Open Source en aplicaciones privativas – Corrientes Primero()

  • Pingback: Vulnerabilidad OpenSSL Heartbleed, la más grave de la historia de la Web – Soyforense()

Top 5 Cupones

Lo más leído