¿Recuerdas toda la polémica que se produjo tras el descubrimiento de Heartbleed? No es para menos, y es que se trata de uno de los fallos más importantes en toda la historia de Internet. Multitud de sitios webs fueron afectados, por lo que todos nuestros datos estuvieron expuestos a cualquiera con los conocimientos necesarios para recopilarlos. En WWWhatsnew ya os hablamos de ello en su momento, pero hoy, Heartbleed vuelve a ser noticia, y es que al parecer, más de dos meses y medio después, esta amenaza sigue sin ser erradicada por completo.
Cuando esta vulnerabilidad se hizo pública a lo largo del pasado mes de abril, la compañía de seguridad Errata descubrió gracias a sus análisis que existían más de 600.000 servidores vulnerables a Heartbleed en todo el planeta, cifra que un mes se había reducido hasta 318.239. Es decir, se había reducido en casi un 50%. A pesar de estos buenos datos iniciales, hoy sabemos que, un mes después, la velocidad de erradicación de la amenaza se ha reducido bastante. Tras un nuevo análisis de Errata, se ha confirmado que continúan existiendo 309,197 servidores vulnerables, cifra muy similar a la del mes anterior. Pero, ¿cómo afectan estos datos a los usuarios? Por fortuna, la gran mayoría de los sitios web más populares de Internet han dejado de ser vulnerables a Heartbleed, lo cual es un buen dato, ya que al tratarse de los más grandes y populares, resultan muy llamativos para los hackers. Además, la probabilidad de estar registrado en un servidor afectado se ha reducido bastante. El problema es que, a pesar de ello, muchos pequeños servidores continúan en riesgo, situación que no parece que vaya a solucionarse con la rapidez necesaria.
Por lo tanto, si accedemos a alguno de estos sitios que continúan afectados, nuestros datos podrán ser accesibles por cualquiera. Para ello, lo que los usuarios de Internet deberíamos hacer es tratar de utilizar una contraseña distinta en cada uno de los sitios web en los que nos registramos. De este modo, no expondremos todas nuestras otras cuentas personales en caso de robo de datos.
Desde Trend Micro nos envían este texto que muestra el resultado de un análisis relacionado con las aplicaciones conectadas a servidores vulnerables a Heartbleed.
Recordemos que estamos hablando de un problema de seguridad que lleva varios años existiendo y que aún estamos lejos de solucionar. En nuestra mano pocas cosas podemos hacer, siendo lo más recomendable tener una contraseña diferente en cada sitio web, para evitar que si roban una tengan acceso a todos nuestros servicios.
Os dejamos con el texto:
Después de revelar la forma en que la vulnerabilidad HeartBleed puede afectar a las aplicaciones móviles, el equipo de investigación de Trend Micro se ha puesto manos a la obra y ha monitorizado las apps móviles. Hasta 7.000 aplicaciones, en el momento en que se realizó el análisis, se estaban conectando a servidores afectados por Heartbleed, cuando en la última verificación de la compañía, eran alrededor de 6.000.
Pero ¿de qué tipo de apps móviles hablamos?
A continuación Veo Zhang, analista de amenazas móviles de Trend Micro, incluye un ranking con el desglose de las aplicaciones móviles clasificadas por categorías y el porcentaje que representan. De acuerdo con esta información, las apps de Lifestyle y las de Entretenimiento y Ocio son las más afectadas, ambas con el 13%.
Figura 1. Distribución de apps móviles vulnerables a Heartbleed por categoría
Con fines de análisis, la compañía ha destacado solamente las categorías de aplicaciones que considera más sensibles, ya que pueden almacenar información privada de los usuarios en el servidor, lo que supone fugas de información a través del uso de estas aplicaciones. En el ranking, se observa que gran parte de este tipo de apps pertenecen al ámbito de las denominadas Estilo de Vida o Lifestyle. En este grupo se incluyen todas aquellas apps relacionadas no sólo con el mundo de moda, compra de ropa y accesorios, muebles, etc. sino también con aquellas relacionadas con el pedido de comida, artículos de alimentación, equipamiento, libros, cupones,… Esto también significa que si un usuario realiza un pedido de comida o lo suministra a través de una de estas aplicaciones afectadas, la información acerca de su pedido, incluyendo las credenciales de usuario, la dirección de su domicilio o, lo que es peor, su tarjeta de crédito, puede filtrarse.
Librería OpenSSL presente en Android 4.1.1 y en determinadas apps móviles
Trend Micro también tiene información de que aunque el fallo OpenSSL está integrado con el sistema Android, sólo la versión de Android 4.1.1 se ha visto afectada por la vulnerabilidad Heartbleed. Para los dispositivos con esa versión, cualquier aplicación instalada con OpenSSL que se utilice después para establecer conexiones SSL / TLS, posiblemente, se verá afectada y puede verse comprometida para conseguir información de la memoria del dispositivo del usuario.
Sin embargo, incluso si el dispositivo no está utilizando la versión afectada, todavía hay que considerar las propias aplicaciones. Así, la compañía ha encontrado 273 apps en Google Play que están vinculadas con la librería autónoma OpenSSL afectada, lo que supone que pueden estar comprometidas en cualquier dispositivo.
En esta lista se incluyen los juegos más populares del año pasado, algunos clientes VPN, una aplicación de seguridad, un conocido reproductor de vídeo, una aplicación de mensajería instantánea, una aplicación de teléfono VOIP y muchos otros. Muchas de las aplicaciones proceden de los mejores desarrolladores. Asimismo, Trend Micro ha encontrado la vulnerabilidad en las versiones anteriores de las aplicaciones de Google.
Figura 2. Entre las apps vulnerables a Heartbleed se incluyen aquellas más populares
Estas aplicaciones se vinculan estáticamente a la librería OpenSSL vulnerable, como se muestra a continuación:
Figura 3. Biblioteca OpenSSL vulnerable
Un ataque Heartbleed reverso al cliente es posible si los servidores remotos a los que se conectan esas aplicaciones se ven comprometidos. Un Heartbleed inverso puede también, por supuesto, dejar expuesta la memoria del dispositivo de un usuario ante un cibercriminal. La memoria puede contener cualquier información confidencial almacenada en estas aplicaciones de forma local. Si utiliza un cliente VPN vulnerable o aplicación de VOIP para conectarse a un servicio malicioso, es posible que pierda su clave privada u otra información de sus credenciales, entonces el hacker puede falsificar su identidad y realizar actividades ilícitas desde allí.
Desde Trend Micro se aconseja a los desarrolladores de aplicaciones acelerar el trabajo de actualización y mejora de la librería OpenSSL y publicar las dichas actualizaciones para los usuarios finales. Por su parte, el usuario en general tiene que ser consciente del hecho de que sus clientes son capaces de filtrar información, no importa cómo de seguro sea el servidor remoto, o la buena reputación y confianza del desarrollador de la aplicación. Trend Micro pondrá próximamente a su disposición una herramienta para comprobar si sus aplicaciones son vulnerables.
El caos que ha generado heartbleed en los últimos días es tremendo. Es un agujero de seguridad que existe desde hace bastante tiempo, un problema que podría permitir a un hacker acceder a un servidor con un sitio web «protegido» con https y obtener las contraseñas de los usuarios del servicio.
Eso significa que si alguien hubiera querido, podría ya haber obtenido millones de combinaciones de usuarios y contraseñas de sitios como yahoo, dropbox, ifttt, evernote y un largo etc. (se estima que más de 500.000 sitios web sufren del problema).
Aunque la mayoría de las recomendaciones dicen: «cambia ya la contraseña», en realidad hay que tener en cuenta dos cosas:
a) es posible que nuestras contraseñas ya hayan sido filtradas en alguna base de datos del lado oscuro de Internet, por lo que es interesante cambiar la contraseña de TODOS los servicios web que usamos cuanto antes.
b) Hay miles de sitios web que aún tienen el problema, por lo que si cambiamos la contraseña aún corremos el riesgo de que alguien invada el sitio antes de que corrijan el agujero de seguridad y la roben de nuevo.
Es por eso que hay que cambiar la contraseña cuanto antes y estar atentos a recibir información de los servicios web para saber cuándo han corregido el problema, y cambiar la contraseña DESPUÉS de solucionado el asunto.
Para ayudar en esta tarea lastpass ofrece un servicio en lastpass.com/heartbleed que ayuda a identificar si una web específica tiene o no problemas, indicando cuándo ha solucionado el agujero para que sepamos si el cambio de contraseña fue realizado en el momento adecuado.
Los usuarios de Lastpass también pueden hacer una verificación de seguridad que devolverá un informe semejante al que veis en la imagen, indicando cuáles de los servicios que usamos han solucionado y cuándo el problema.
Si para nosotros, que vivimos inmersos en el mundo de la tecnología constantemente, es un trabajo complejo cambiar las contraseñas en el momento adecuado de decenas de servicios web, imaginad para los millones de personas en todo el mundo que no han oído hablar nunca de Heartbleed y que continuarán sus vidas normalmente mientras se negocia la compra y venda de sus datos de acceso en quién sabe cuántos sitios web.
Heartbleed es un nuevo problema de seguridad que comenzó a divulgarse ayer a lo ancho y largo de Internet, un error descubierto en el protocolo de seguridad OpenSSL que permite que un hacker pueda entrar en los servidores que usan SSL y abrir datos de usuarios y contraseñas directamente desde la memoria de la máquina.
Son miles los sitios web afectados (más de 500.000, según netcraft.com), aquí hay una lista mostrando muchos de ellos, donde está incluido Yahoo, por ejemplo. En Twitter han mostrado capturas en las que aparece un ejemplo de lo que puede obtenerse accediendo al servidor de Yahoo aprovechando este error que, dicho sea de paso, ya está siendo solucionado.
Lo que os mostramos ahora es una sencilla aplicación que puede ayudarnos a saber si el servidor al que nos conectados (una web de banco, una aplicación, un foro, etc.) puede ser invadido gracias a HeartBleed. En caso de que la respuesta sea positiva os recomendamos no entrar en él, ya que cualquiera con un poco de conocimientos sobre seguridad podría acceder a él y obtener nuestros datos de acceso.
