Es más que probable que hayas oído hablar de la aparición de un nueva amenaza digital. Se llama Heartbleed, y se trata de una vulnerabilidad de OpenSSL, que es el sistema de cifrado que utilizan páginas web como Yahoo para evitar que otros vean nuestras contraseñas. Así funciona.
¿Qué es OpenSSL y qué es Heartbleed?
OpenSSL es la versión de código abierto de SSL, una librería de software usada para cifrar las comunicaciones entre nuestro navegador, y el servidor donde se aloja el servicio que estemos utilizando. Es, en definitiva, uno de los muchos sistemas que utilizan las compañías para ocultar nuestros datos a ojos de extraños.
Heartbleed es el apodo de una vulnerabilidad conocida como CVE-2014-0160 que afecta a las versiones 10.1 y 10.1f de OpenSSL. Según han podido comprobar diversos especialistas de seguridad, un hacker puede desarrollar un código que aproveche esa grieta, y robar información de usuarios.
Los expertos no se ponen de acuerdo sobre qué datos exactos están en peligro, pero parece que incluyen direcciones de e-mail, contraseñas y hasta números de cuentas bancarias. Los responsables de OpenSSL ya han publicado un parche que soluciona la vulnerabilidad, pero aún hay servicios que no han podido aplicarlo.
¿A qué servicios afecta?
Heartbleed no es un problema universal, pero si bastante extendido. Afecta solo a los sites que utilizaban estas versiones de OpenSSL. Según Netcraft, eso supone el 66% de las páginas activas de internet.
Entre los servicios que han podido verse afectados en algún momento encontramos algunos bastante populares como el correo de Yahoo, los servicios de fotografía Flickr, y 500px, la página de XDA Developers, Imgur, la web de citas OkCupid, o sitios de vídeos porno como RedTube.
Servicios básicos como Google, Facebook, YouTube, Amazon o Wordpress no se han visto afectados porque no utilizan OpenSSL, o utilizan una versión que sí es segura. Se dice que cientos de contraseñas de Yahoo están en peligro, pero aún no hay datos precisos.
¿Qué puedo hacer yo?
Desgraciadamente, los usuarios no podemos hacer mucho al respecto. La brecha tiene que ser corregida en los propios servidores de cada página web, y cambiar la contraseña de, por ejemplo, nuestra cuenta de Yahoo no ayuda si la brecha sigue estando ahí.
La única medida razonable es chequear qué servicios utilizamos de los que se han visto afectados, e intentar no usarlos hasta que corrijan el fallo. Los técnicos de cada casa están trabajando en determinar el alcance de los daños (si es que los ha habido), y seguramente emitan comunicados advirtiendo a los usuarios de la conveniencia o no de cambiar la contraseña. Yahoo, por ejemplo, ya enviado emails al respecto a sus usuarios. Otra opción recomendable es cambiar las contraseñas de todos los servicios online que utilices.
