Por Diego Cruz
Esta semana se descubrió un defecto en el código del software utilizado por casi dos tercios del Internet para cifrar información privada. Puede haber expuesto a agresores los datos personales de millones de usuarios y las claves de acceso de algunos servicios populares en línea, de acuerdo al sitio GigaOm. También puede afectar a los sitios de organizaciones noticieras.
La vulnerabilidad de seguridad fue apodada “Heartbleed” por situarse en una característica de la biblioteca de software OpenSSL llamada “heartbeat” (latido de corazón en español), una señal transmitida entre servidores y usuarios para crear y mantener una conexión segura por Internet. El error resulta en que la señal mande una cantidad extra de datos recientemente guardados en la memoria RAM del servidor o el equipo del usuario, algo que un hacker podría aprovechar para obtener nombres de usuarios, contraseñas, claves criptográficas y demás.
Heartbleed impacta a los sitios de web de organizaciones noticieras que utilizan SSL para crear accesos a usuarios, usan VPN para asegurar su red o son mantenidos por servidores de red de código abierto (como Apache, Ngnix y Lighttpd), de acuerdo al sitio web ProPublica. Cualquier software proveniente de las versiones 1.0.1 en adelante de OpenSSL está afectado, y existen herramientas como Heartbleed Test oLastPass para verificar si un sitio fue afectado.
Además, software de privacidad como Tor y SecureDrop resultaron vulnerables pero ya tienen actualizaciones que resuelven el problema y varios sistemas operativos populares, como Linux, han publicado parches que eliminan el defecto.
Aunque sólo fue descubierto esta semana, el problema ha existido en el código desde hace dos años y no se puede saber si hackers lo han utilizado para obtener información privilegiada, de acuerdo The New York Times. Lo que sí es seguro es que en este momento la vulnerabilidad ya no es un secreto y es probable que agresores intentarán utilizarla para obtener datos privados.
Por lo tanto, expertos de seguridad sugieren que los usuarios cambien sus contraseñas, pero solamente una vez que los sitios vulnerables hayan solucionado el defecto, reportó la revista Forbes. De lo contrario un usuario aumentará el riesgo de que sus códigos de acceso se vuelvan accesibles.
Los expertos recomiendan a organizaciones noticieras actualizar su software y volver a generar los certificados de SSL que utilizan con sus servidores para proteger sus claves privadas, según ProPublica. Estas claves pueden ser utilizadas por un agresor para descifrar toda la información privada entre el sitio de una organización y su servidor.
Además sugieren que los medios alerten a los usuarios de sus sitios una vez que arreglen los defectos para que éstos puedan cambiar sus contraseñas. Los empleados de organizaciones noticieras deben cambiar todas sus contraseñas una vez que se arregle el defecto, especialmente las de cuentas de trabajo como en sistemas de manejo de contenidos y medios sociales.
Para obtener más información sobre cómo elegir una contraseña segura, proteger su información privada y en general fortalecer la seguridad de sus datos digitales, lea la guía de seguridad de información del Comité para la Protección de los Periodistas (CPJ) .
[Fuente: www.knightcenter.utexas.edu]
Sem comentários:
Enviar um comentário