El dibujo del candado que aparece en el navegador cuando se entra en una determinada página de internet indica que la conexión está cifrada mediante tecnología SSL que impide que una tercera persona tenga acceso a lo que se está viendo en esa web. Este método de protección, que se basa en certificados de veracidad que indican que la página que se está visitando corresponde, efectivamente, a la institución u organismo al que se refiere, es en el que un equipo de investigadores han detectado una brecha.
Este problema fue descubierto la semana pasada por un equipo de expertos en seguridad finlandeses e investigadores de Google, aunque no se ha desvelado hasta este lunes. Durante la noche de este martes, una gran cantidad de páginas como Yahoo, Facebook, Google o Amazon aseguraron que estaban trabajando en arreglarlo o que ya lo habían hecho.
Los investigadores todavía siguen revisando el impacto de esta brecha en la seguridad para los consumidores, según recoge el diario estadounidense ‘The New York Times’, pero ya han advertido de que puede llegar a ser significativo, y que muchos datos importantes, como contraseñas, detalles bancarios o números de la Seguridad Social podrían ser vulnerables ante este problema informático.
La principal recomendación que han hecho a los consumidores ha sido esperar o al menos, ser cauteloso, antes de cambiar las contraseñas: modificarla en una página que todavía no ha solucionado este problema podría suponer la entrega directa de la nueva contraseña a los piratas informáticos. Por lo tanto, han recomendado que antes de modificar cualquier dato se investigue la página web para saber si se ha solucionado.
Hasta el momento no hay ninguna prueba de que los piratas hayan utilizado esta brecha para robar información y todavía se desconoce la magnitud de la brecha de seguridad, ya que más de dos tercios de los sitios web se basan en esta tecnología, denominada OpenSSL. El equipo de investigadores encontró este fallo en una parte del protocolo OpenSSL denominado ‘heartbeat’ —que significa ‘latido del corazón’—, por lo que el error ha recibido el nombre de ‘heartbleed’ —‘corazón sangrante’—.
Datos vulnerables
“Es un fallo importante, pero no deja ningún rastro”, asegura el jefe ejecutivo de la compañía de seguridad californiana Codenomicon, David Chartier. “Los piratas pueden acceder a la memoria de un ordenador y tomar claves encriptadas, nombres de usuarios, contraseñas o cualquier propiedad intelectual y no dejar ningún rastro de que ha estado ahí”, añade.
Las organizaciones también han recomendado descargar la nueva versión del protocolo OpenSSL, que incluye un parche, y cambiar rápidamente todas las claves de cifrado. Esto significa que muchas páginas deberán también modificar sus contraseñas corporativas y ‘deslogar’ a sus usuarios y advertirles de que cambien sus contraseñas.