Noticia tomada de www.eltiempo.com en la que se habla de la reciente falla de seguridad HeartBleed, que amenaza la privacidad de los usuarios de la red.

1. Esto es lo que debe saber sobre el fallo de seguridad
'HeartBleed'
Por: REDACCIÓN TECNOLOGÍA | 6:57 p.m. | 10 de Abril del 2014
No es un virus. No se saben sus alcances. Ya hay una cura al
problema.
Investigadores de Google y de la empresa de seguridad Codenomicon detectaron
un fallo que, según expertos, es el más grave que se ha presentado en los últimos
años en el estándar OpenSSL, un conjunto de herramientas gratuitas utilizadas
para navegar de forma segura por la web, el cual restringe el acceso de terceros a
los datos personales de otros usuarios, como sus correos electrónicos,
contraseñas, entre otros. Se creó una página enfocada en la resolución de este
problema:https://heartbleed.com/
Tenga en cuenta: el servidor es un equipo donde se almacenan datos, páginas
web, aplicaciones, servicios. Información como los correos de Outlook o Gmail se
almacenan en un servidor.

2. EL TIEMPO habló con Juan Pablo Páez Sánchez, gerente de prevente de McAfee,
y con Joaquín Rodríguez, vocero para Latinoamérica de firma de
seguridad informática ESET, para resolver las principales dudas referentes a este
error informático. Estas son las conclusiones de los expertos:
¿En qué consiste este error?
‘HeartBleed’ es un error que, en esencia, permite extraer información de los
servidores mediante una brecha. Es como si alguien, de repente, pudiera escuchar
nuestras conversaciones telefónicas privadas. El cibercriminal puede entrometerse
en el diálogo entre el PC del usuario y el servidor. La vulnerabilidad existe por un
error de programación en el estándar OpenSSL.
¿Por qué es peligroso?
Porque el estándar OpenSSL es usado de forma masiva para generar
comunicaciones seguras entre el usuario y el servidor. Ahora se descubrió que no
era invulnerable. Imagine que la comunicación va por un túnel. Hay una suerte de
gotera que ayuda a que se filtren piezas de información privada.
¿Qué tipo de información se puede extraer de los servidores?
Contraseñas, nombres de usuarios, mensajes instantáneos, correos e información
crítica de negocios, números de tarjeta de crédito, entre otros.
¿Por qué se llama HeartBleed?
Existe un mecanismo que usan los PC de los usuarios y los servidores para saber
si la conexión está funcionando: una suerte de latido (paquete de información) que
va de los computadores de los usuarios a los servidores y viceversa. En inglés
sería un ‘Heartbeat Command’. Puede tratarse de una palabra de 5 bytes (como
‘hola’). En una versión OpenSSL sin el error, el servidor recibe la palabra de 5
bytes y se asegura de devolver la misma palabra de 5 bytes. De ese modo, ambas

3. partes de la comunicación reconocen su existencia, como el saludo en una
llamada.
Ocurre que debido al error de OpenSSL el PC le envía un saludo al servidor y este
no solo le devuelve el saludo al usuario sino que le brinda información adicional y
no revisa si eso es correcto. Si debía devolver 5 bytes, puede terminar retornando
hasta 64.000. ¿De dónde saldrían esos 63.955 bytes adicionales? De lo que el
servidor esté leyendo en ese momento en su memoria. Como si aparte del saludo,
dijera una serie de pensamientos en voz alta, entre los cuales se pueden incluir
detalles privados.
¿A quiénes afecta?
A todos los servidores que continúen usando la versiones de la OpenSSL 1.0.1 a
la 1.0.1f. No son vulnerables la OpenSSL 1.0.1g, la 1.0.0 y la 0.9.8.El ‘bug’ ha
estado presente en servidores desde el 14 de mayo de 2012. Algunos sistemas
operativos que incorporan OpenSSL han sido presentados al mercado con esta
falencia en los últimos dos años.
¿Se puede arreglar el estándar OpenSSL?
Sí, el error ya fue resuelto en la última versión de OpenSSL, la 1.0.1g lanzada el 7
de abril de 2014. La puede descargar de aquí.
¿Se puede detectar un ataque que aproveche 'HeartBleed'?
No es fácil, el error permite que se extraiga información del servidor sin que se
deje rastro alguno. Tampoco se sabe con certeza qué tanto provecho de ha
sacado de la vulnerabilidad en los últimos dos años.
¿Qué pueden hacer los usuarios?
Algunos expertos han recomendado cambiar contraseñas de los principales
servicios que habrían resultado afectados (entre los que se encuentran Dropbox,

4. Twitter, Tumblr, DuckDuckGo, Github, y los proveedores de hosting de Amazon y
Herok según el portal Netcraft). Sin embargo, al tratarse de un error que afecta al
canal de comunicación y no solo a la puerta de acceso, sería insuficiente. La
principal responsabilidad recae en las empresas que deben actualizar el estándar
OpenSSL.
¿Cualquier sitio con este error será hackeado?
No, la existencia de la brecha HeartBleed solo implica que existe una ventana, una
gotera. No supone, en sí misma, que el sitio será vulnerado, pero se encuentra en
riesgo.
¿Aún existe la brecha de seguridad?
Según Páez, sí, hay empresas que todavía no han implementado mejoras. "No es
sencillo, para actualizar los sistemas implica ceses de servicio, por ejemplo".
¿Cómo saber si su servidor es vulnerable?
Si quiere saber si la versión OpenSSL que utiliza una página en línea específica
es vulnerable frente a esta amenaza, puede realizarle un ‘Heartbleed test’ en esta
dirección: www.filippo.io/Heartbleed/
ÉDGAR L. MEDINA
REDACCIÓN TECNOLOGÍA
Fuente: http://www.eltiempo.com/tecnologia/internet/que-es-heartbleed_13815858-
4