San Francisco, EU.- Los últimos meses no han sido precisamente buenos para aquellos usuarios de Internet preocupados por su privacidad. Primero, las revelaciones de Edward Snowden sacaron a la luz que la Agencia Nacional de Seguridad estadounidense (NSA) llevaba años reuniendo datos sobre las comunicaciones online y telefónicas. Y ahora, resulta que el protocolo de criptografía más utilizado en la red tiene un talón de Aquiles: el Heartbleed.
Este nuevo agujero de seguridad supone que los datos de millones de usuarios de Internet podrían haber estado expuestos a los hackers. Investigadores de Google y la compañía finlandesa de seguridad Codenomicon dieron con esta tara en el supuestamente ultraseguro OpenSSL, utilizado por miles de empresas desde Google a Yahoo para proteger los datos de sus usuarios.
Así, el Heartbleed supone una de las mayores amenazas de seguridad mundial reveladas en los últimos años, pues permite a los hackers recuperar información encriptada que les daría acceso a otra información como datos de los usuarios y contraseñas. Y las reacciones no se han hecho esperar.
Tumblr, la popular red social perteneciente a Yahoo, ha pedido a sus usuarios que cambien sus contraseñas, en una iniciativa que supone una de las admisiones de vulnerabilidad de más alto nivel. "El pequeño icono de encriptado (https) en el que todos confiábamos para nuestras contraseñas, e-mails personales y tarjetas de crédito estaba en realidad posibilitando que toda esa información fuera accesible a cualquiera que supiera explotarla", dijo Tumblr en un comunicado emitido el martes.
Desde que a última hora del lunes la noticia del agujero de seguridad se hizo de dominio público, miles de webs se han puesto a revisar sus servidores para ver si estaban utilizando versiones vulnerables del OpenSSL. "Hoy podría ser un buen día para tomarse un tiempo y cambiar sus contraseñas de seguridad en todas partes, especialmente en los servicios de alta seguridad como e-mail, almacenamiento de archivos y banca online, que podrían verse comprometidos por este virus", añadió Tumblr.
La web de tecnología Ars Technica calcula que dos tercios de los servidores web utilizan Open SSL para proteger las contraseñas y otros datos sensibles. Como los ataques propiciados por el Heartbleed son indetectables, no se sabe a ciencia cierta si esta vulnerabilidad ha sido explotada a lo largo de los dos últimos años. Pero que Ars Technica lo calificara de "catastrófico" refleja la extendida sensación de fatalismo en las conversaciones de los expertos en seguridad.
Con todo, varios gigantes de la web como Google, facebook, Twitter y Amazon sostienen que no se han visto afectados por el Heartbleed. "No hemos detectado señales de actividad sospechosa que pudiera sugerir una acción específica", señaló facebook. "Pero animamos a los usuarios para que asuman buenas prácticas y utilicen una contraseña única para su facebook que no compartan con otras webs".
Frente a ellos, investigadores como Bruce Schneier, director de tecnología en Co3 Systems, sostienen que más de 500.000 webs son vulnerables a esta nueva amenaza. Según Kaspersky Lab, otra empresa de seguridad, desde que el lunes saltó la noticia se han desarrollado decenas de programas con malas intenciones cuyo objetivo es rastrear las webs en busca de puntos débiles.
"Quien necesite anonimato o privacidad, mejor que se aparte de Internet en los próximos días hasta que las cosas se restablezcan", afirmó Roger Dingledine, presidente del servicio web para surfear de forma anónima Tor Project.
Comentarios del Lector
a nuestro Boletín