Heartbleed - ¿Qué puedes hacer para mantenerte seguro?
La vulnerabilidad de Heartbleed SSL está en los titulares de todo el mundo, y los informes erróneos en la prensa y en línea están causando confusión. ¿Cómo puedes estar seguro y asegurarte de que tus datos personales no se filtren??
¿Qué es Heartbleed? Bueno, no es un virus
Probablemente has escuchado que Heartbleed es descrito como un virus. Este no es el caso: de hecho, es una debilidad, una vulnerabilidad en los servidores que ejecutan OpenSSL. Esta es la implementación de código abierto de SSL y TLS, los protocolos utilizados para las conexiones seguras, aquellos que comienzan https: // en lugar de lo habitual http: //.
Esta vulnerabilidad, más comúnmente conocida como error, esencialmente crea un agujero a través del cual los piratas informáticos pueden eludir el cifrado. Confirmado el 7 de abril.th 2014, ocurre en todas las versiones de OpenSSL excepto 1.0.1g. La amenaza se limita a los sitios que ejecutan OpenSSL; otras bibliotecas SSL y TLS están disponibles, pero OpenSSL se emplea ampliamente en servidores de toda la web. Existe una solución para el problema, pero es posible que esto no se haya aplicado a los sitios web que visita regularmente para actividades seguras. Estos pueden ser compras en línea, juegos de azar y otros sitios web con temas para adultos o incluso redes sociales.
Como resultado, toda clase de información personal y financiera podría estar en riesgo.
Para tener una idea de lo importante que es Heartbleed (y por qué se llama), Ryan ha puesto recientemente en el contexto este error que abarca Internet. Error masivo en OpenSSL pone a gran parte de Internet en riesgo Error masivo en OpenSSL pone a gran parte de Internet En riesgo Si eres una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te sorprenderá un poco. Lee mas . Debemos subrayar que Heartbleed es una vulnerabilidad basada en Internet y, por lo tanto, afecta a los usuarios de todos los sistemas operativos, equipos de escritorio y dispositivos móviles..
Entonces, es un gran problema, pero ¿qué puedes hacer al respecto??
Ignora el hype y no te asustes
Bueno, hay una cosa que no debes hacer: pánico. Se ha escrito mucho a través de Internet y en los medios impresos en los últimos días, y gran parte de ellos son exageraciones, un doom porn que pondría en vergüenza los efectos de la famosa transmisión de radio de la Guerra de los Mundos de Orson Welles..
Gran parte de lo que ya ha visto se habrá creado a partir de comunicados de prensa y otros informes de periodistas que no están familiarizados con la terminología y una falta de comprensión clara sobre los riesgos..
Por ejemplo, es posible que sepa que debe cambiar sus contraseñas de inmediato (no es del todo cierto, debemos agregar, consulte a continuación). Pero ¿sabías del riesgo de phishing??
El riesgo de phishing
Los servicios web, bancos y redes sociales responsables que han sido afectados por Heartbleed le enviarán un correo electrónico para informarle que han reparado la vulnerabilidad y recomendarle que cambie su contraseña..
Naturalmente, debe hacer esto, pero tenga en cuenta que esta situación representa una oportunidad ideal para los phishers para comenzar a enviar correos electrónicos falsos, completos con enlaces incrustados a la “Cambia la contraseña” página - en realidad, un sitio web diseñado para recopilar sus detalles.
Ninguno de los servicios que usa debe recomendarle que haga clic en un enlace para cambiar la contraseña en un correo electrónico enviado por correo electrónico no solicitado. Desafortunadamente, IFTTT lo hizo, al igual que Pinterest (arriba). Esta es una mala práctica y da la impresión de que dicho enlace es aceptable y se debe hacer clic en él..
A menos que haya solicitado el correo electrónico, no se debe hacer clic en dicho enlace.
Los correos electrónicos para restablecer la contraseña de Heartbleed no deben incluir enlaces de inicio de sesión. Si lo hacen, elimínelos y luego visite el sitio web escribiendo la dirección en su navegador (o seleccionándola desde el historial o favoritos, dependiendo de cómo vaya con estos elementos). Desde allí, restablece tu contraseña ...
... pero solo si realmente lo necesitas en esta etapa.
Desafortunadamente, la necesidad de que las empresas parezcan de las relaciones públicas parece que están haciendo algo con respecto a amenazas como Heartbleed puede resultar tan dañina como la amenaza en sí misma..
Por lo tanto, debe cambiar sus contraseñas?
Uno de los principales consejos en circulación de Heartbleed es que debe cambiar sus contraseñas inmediatamente..
Todos ellos.
Lamentablemente, este es un ejemplo de la información errónea a la que me referí en la introducción. Digamos que usa la misma contraseña para varios sitios web. En primer lugar, esto es una mala práctica y debería reconsiderarlo en el futuro (sin mencionar crear contraseñas más seguras. Contraseñas seguras: generar una contraseña diferente para cada sitio web..
Segundo, si cambia indiscriminadamente todas sus contraseñas, es probable que lo haga en un sitio web que no se esté ejecutando en un servidor parchado, uno en el que Heartbleed sigue siendo una vulnerabilidad..
Inadvertidamente, posiblemente ha compartido su contraseña anterior y su nueva contraseña con aquellos que pueden explotar la vulnerabilidad de sus operaciones de fraude de identidad y spam..
Como tal, solo debe cambiar su contraseña sitio por sitio cuando sepa que se han revisado, es decir, se ha aplicado la corrección y se ha cerrado la vulnerabilidad..
Compruebe qué sitios web han sido parcheados
Comience por verificar qué sitios web están libres de la vulnerabilidad de Heartbleed.
Hay dos maneras de hacer esto. Primero, diríjase a Mashable, donde encontrará una lista actualizada de los sitios web de renombre afectados por Heartbleed, junto con consejos sobre si debe cambiar su contraseña o no..
Para los sitios web más pequeños, esta excelente herramienta de búsqueda le dirá al instante si el sitio ha sido parchado o no.
Una alternativa es la extensión Chromebleed Checker para Google Chrome.
Si los sitios web que utiliza se han visto afectados y aún no han solucionado la vulnerabilidad de Heartbleed, evite iniciar sesión hasta que se resuelva la situación..
Conclusión: es un juego de espera
Tratar con la tormenta Heartbleed no debería ser un problema para la mayoría. Siga el curso que hemos recomendado anteriormente y no cambie las contraseñas hasta que los sitios web y servicios correspondientes le indiquen que lo haga..
También puede usar nuevas herramientas para verificar si el sitio web que planea visitar (o incluso el que ejecuta) se ha visto afectado y si se ha aplicado una solución..
Lo más importante es mantenerse seguro y ser paciente. El potencial de Heartbleed para causar problemas masivos todavía está ahí: evite los sitios web que requieren parches hasta que sepa que ahora están seguros..
Créditos de imagen: Bullet Heart a través de Shutterstock, HTTPS a través de Shutterstock, Don't Panic Button a través de Shutterstock, Contraseña a través de Shutterstock
Explore más sobre: Seguridad en línea, Contraseña, SSL.