Heartbleed, un fallo de seguridad de difícil evaluación

«Este es, sin duda, una vulnerabilidad crítica», asegura a la agencia AFP Thomas Gayet, especialista en la lucha contra el delito cibernético de la consultora Lexsi . «Podría haber una fuga de datos». Los «hackers» no pueden orientar con precisión sus ataques, pero «si los dos últimos años la gente ha sido consciente de esta vulnerabilidad y pudo usarla, podría maximizar sus posibilidades de obtener información confidencial», comenta.

Se estima que dos terceras partes de todo internet se ha visto afectado por este problema, aunque diversas empresas de seguridad han reducido su impacto. Este fallo, descubierto por investigadores de Google Security y la empresa Codenomicon , afecta, a priori, a las versiones posteriores del programa Open SSL posteriores a marzo de 2012 y, por lo tanto, afecta a servidores de correo y accesos remotos de banca «online».

«Es un problema muy grave», pero no ha supuesto que la brecha de seguridad haya sido aprovechada por cibercriminales, de otra forma «habría habido casos de robo de datos inexplicables en las últimas semanas y meses y no se han producido este tipo de alertas», ha reconocido el experto en seguridad de G Data , Eddy Willems.

Tras conocerse este fallo, la agencia de inteligencia de EE.UU. conocida por sus siglas en inglés NSA, ha negado tener conocimiento de haber usado la vulnerabilidad producida por Heartbleed para espiar a miles de usuarios o robar contraseñas. El caso es que la lista de víctimas potenciales es muy larga.

Algunos servicios como Yahoo, Google, Facebook, Instagram, Netflix o Airbnb han llevado a cabo una actualización de seguridad en los últimos días, pero otros servicios «online» como Pinterest o Tumblr sí se han visto afectados, según ha comprobado el portal especializado «Mashable». Twitter, Etsy, GoDaddy, Box, Dropbox o SoundCloud sí se han visto afectas y se recomienda cambiar de contraseña.

Plataformas como Amazon y LinkedIn aseguran haber estado a salvo, mientras que Apple ha conseguido que sus sistemas operativos iOS y OS X no se vieran afectados. Lo mismo ocurre con «la mayoría» de los servicios de Microsoft, como Outlook, Skype o Office 365.

«Los grandes grupos podrían resolver el problema de forma rápida», reconoce Tim Maurer, experto en seguridad de New America Foundation . «No así las pequeñas y medianas empresas, que no tienen los recursos y equipos de expertos en seguridad necesarios para actualizar su sistema rápidamente».

Otra de las razones para temer que el problema es difícil de resolver : los proveedores de infraestructuras y redes de telecomunicaciones , tales como Cisco o Juniper Networks, hacen hincapié en que su equipo también puede verse afectada.

Según algunos expertos, cambiar todas las contraseñas sin discernimiento es «un mal consejo». «Solo debemos cambiar las contraseñas de los sitios que han confirmado que solucionaron el problema. El resto es aumentar las posibilidades de que su información privada va a ser interceptada», explica Graham Cluley, analista independiente especializada en seguridad informática.

Empresas de seguridad advierten que se puede utilizar Heartbleed como pretexto para mandar correos electrónicos falsos a modo «de pesca» que aseguran poder cambiar una contraseña. Además, los expertos también aconsejan a los usuarios controlar con especial atención sus cuentas bancarias, para identificar transacciones sospechosas.