¿Qué es Heartbleed? La vulnerabilidad que pone en riesgo a todos en Internet

¿Qué es Heartbleed? La vulnerabilidad que pone en riesgo a todos en Internet

¿Qué es Heartbleed? La vulnerabilidad que pone en riesgo a todos en Internet - heartbleed-800x369

Ha sido descubierta tremenda vulnerabilidad en OpenSSL llamada Heartbleed y que sería utilizada para engañar a un sistema obligándolo a revelar datos que se encuentren alojados en la memoria. La grave vulnerabilidad se encuentra presente desde diciembre del 2011 y hasta ahora se acaba de descubrir y empezamos a saber sobre ella. Mucho del tráfico web se encuentra altamente comprometido pues dos tercios de los servidores en Internet hacen uso de OpenSSL.

La vulnerabilidad Heartbleed descubierta en OpenSSL compromete claves secretas utilizadas para identificar los proveedores de servicios y cifrar el tráfico, los nombres o las contraseñas de los usuarios. Con este error se permitía a los atacantes espiar esta comunicación y robar paquetes de datos de los servicios o usuarios con el que podrían hacerse pasar por ellos de manera sencilla. Para poner un ejemplo de la magnitud de esta vulnerabilidad, podemos decir que el servidor Apache, utilizado por más de la mitad de sitios web, usa OpenSSL y todo este tráfico podría estar comprometido.

¿Qué es Heartbleed?

Esta vulnerabilidad llamada Heartbleed por sus descubridores lleva el nombre oficial de CVE-2014-0169 y es muy peligrosa ya que permitiría a los atacantes leer 64KB de memoria en un servidor y podría parecer poco pero esta memoria podría contener información muy importante sobre los usuarios o los servidores.

Este error se encuentra presente desde diciembre del 2011 pero apenas se acaba de descubrir por lo que cualquier sistema que utilice versiones de OpenSSL con hasta dos años de antigüedad podrían verse comprometidos. En específico las versiones OpenSSL afectadas van desde la 1.0.1 hasta la 1.0.2-beta.

Se ha lanzado una versión provisional 1.0.1g que arregla la vulnerabilidad aunque las páginas web deberán revocar los certificados de seguridad antiguos porque podrían estar en peligro.

¿Qué es OpenSSL?

OpenSSL es un proyecto de software libre que consiste en una serie de herramientas de administración y bibliotecas que se relacionan con la criptografía. Es ampliamente utilizado para cifrar la mayoría del tráfico que es enviado a través de Internet de manera segura y eficiente. Su función es la de proveer propiedades criptográficas a paquetes como OpenSSH o a navehadores web para que se pueda tener un acceso seguro a sitios con seguridad HTTPS y para cifrar el tráfico en Internet. La última versión estable de Open SSL es la 1.0.1f de enero de este año que también se encuentra comprometida por Heartbleed.