Sin categorizar

Lo que necesita saber sobre Heartbleed y cambiar sus contraseñas

Lo que necesita saber sobre Heartbleed y cambiar sus contraseñas

[Fuente de imagen:Heartbleed]

Es posible que haya oído hablar de Heartbleed últimamente y que todos sus amigos le estén diciendo que cambie todas sus contraseñas. Sin embargo, antes de cambiar sus contraseñas, debe saber que el sitio web en cuestión ha tomado todas los pasos necesarios para protegerse de Heartbleed; de lo contrario, su nueva contraseña seguirá siendo igual de vulnerable. Algunas listas flotando alrededor que le dicen que los sitios están listos para cambios de contraseña, sin embargo, no han verificado todos los pasos de seguridad necesarios. Sigue leyendo para saber más:

PD Vamos a (intentar) explicar exactamente qué es la violación de seguridad de Heartbleed de una manera que todos pueden entender y también informarle los puntos importantes sobre dónde y cuándo debe cambiar su contraseña.

¿Qué es el error Heartbleed?

El cómic web xkcd esbozó una pequeña caricatura que explica Heartbleed de la manera más simple que hemos visto:

En primer lugar, debe saber que la seguridad web la proporciona un software conocido como OpenSSL (capa de sockets seguros), que cifra (codifica) los datos enviados hacia y desde la computadora de un usuario y el servidor de sitios web (donde se aloja / almacena el sitio web). Es muy importante pensar en cosas como nombres de usuario, contraseñas e incluso datos de tarjetas de crédito y direcciones que enviaría a formularios en línea, que viajarían desde su computadora al servidor de sitios web.

Heartbleed se aprovecha de algo conocido como "latido del corazón" entre la computadora del usuario y el servidor del sitio web: básicamente, cuando accede a un sitio web, el sitio web responderá para informarle a su computadora que está activo y esperando sus solicitudes con un latido del corazón. Se supone que el latido es una respuesta igual a la cantidad de datos que su computadora envió al realizar la solicitud. Sin embargo, un error en el software permite a los piratas informáticos solicitar más datos de la memoria del servidor más allá de los datos totales de la solicitud inicial hasta 65 536 bytes. Esta información adicional recibida en la solicitud puede contener cualquier cosa, desde contraseñas hasta detalles de tarjetas de crédito que otras personas han enviado (vea la caricatura de arriba).

Se dice que el error Heartbleed es un error honesto cometido por el programador Robin Seggelmann, quien agregó al software de código abierto, OpenSSL, en la víspera de Año Nuevo de 2011. Esto significa que el agujero de seguridad existe desde hace más de 2 años y lo peor parte es que no hay forma de saber si un hacker ha realizado una solicitud de información adicional del latido del corazón. En otras palabras, no hay forma de saber si alguien alguna vez ha robado contraseñas u otra información confidencial de un sitio web.

¿Cuándo debo cambiar mi contraseña?

Muchos sitios web ofrecen listas que ofrecen consejos sobre qué sitios web debe cambiar y si debe cambiar su contraseña todavía. Sin embargo, muchos expertos en seguridad (como Bruce Schneier, Troy Hunt y la gente de AgileBits) dicen que debe verificar tres cosas:

  1. El sitio (o hardware / aplicación como Heartbleed afecta más que sitios web) estaba usando una versión de OpenSSL que era realmente vulnerable a Heartbleed (versiones 1.0.1 de marzo de 2012 hasta 1.0.1f). La versión que contiene la corrección es 1.0.1g, que se lanzó el 7 de abril de 2014.
  2. El sitio corrigió el error de OpenSSL.
  3. El sitio renovó las claves de seguridad y luego emitió un nuevo certificado de seguridad (SSL).

Si todo esto es demasiado tonto para usted, se informa que el verificador Heartbleed de LastPass es actualmente el método de verificación más confiable si no puede verificarlo manualmente. Para una mirada más profunda para asegurarse de que un sitio esté listo para cambios de contraseña, diríjase a ITWorld.

Algunas listas en Internet de los sitios para los que necesita cambiar su contraseña solo han verificado que los sitios web han parcheado el error de OpenSSL, por ejemplo, y no han verificado si se han emitido nuevos certificados de seguridad (SSL). Como es imposible saber si un servidor ha sido víctima de un ataque Heartbleed, no está claro si un pirata informático puede haber descargado claves de seguridad, lo que dejaría el sitio web vulnerable si no se han completado los tres pasos anteriores.

Acabo de descifrar el desafío de @CloudFlare: https://t.co/8ZPSxyKF4D. Me pregunto cuándo actualizarán la página.

- Fedor Indutny (@indutny) 11 de enero de 2014

Recientemente, la red de distribución de contenido Cloudflare investigó la gravedad del error al hacer que sus investigadores intentaran utilizar Heartbleed para obtener claves de seguridad SSL y fallaron. Sin embargo, cuando pusieron el desafío al público, un hacker del equipo de Node.js conocido como Fedor pudo recuperar con éxito las claves SSL privadas.

Esperamos que esto le ayude a comprender Heartbleed y que haga los cambios de contraseña necesarios y programados para garantizar su seguridad en línea. Como punto final, nos gustaría recordarle no utilizar la misma contraseña para todos los sitios web, ya que esto podría ser desastroso. Si no puede realizar un seguimiento de tantas contraseñas diferentes, le recomendamos que utilice un programa como LastPass.

Además, consulte la campaña Logme Once Kickstarter que ofrece un administrador de contraseñas, seguridad digital, así como un dispositivo de almacenamiento USB seguro y un cargador de batería móvil en un solo paquete:

LogmeOnce satisface una necesidad diaria. ¿Quién no está preocupado en estos días por ser pirateado, olvidar sus contraseñas o simplemente ser vulnerable porque tienen contraseñas débiles? LogmeOnce ofrece una alternativa segura y fácil de usar a estas preocupaciones y contraseñas escritas apresuradamente en trozos de papel

Ver el vídeo: Heartbleed, grave fallo de seguridad informática que nos afecta a todos (Octubre 2020).