Los propietarios de sitios deben informar a sus usuarios si presentan o no la falla Hearbleed, y mantenerlos informados, así cómo, indicarles el momento en que deben cambiar sus contraseñas o de lo contrario estarían violando la LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES (LFPDPPP) en México.
Trend Micro, advierte acerca del fallo de seguridad llamado “Heartbleed”, el cual se encuentra presente en varias versiones de SSL, tecnología que ayuda a proteger y mantener la privacidad de los datos de los usuarios que circulan por internet y del cual ya hemos hablado anteriormente: ¿Qué es Heartbleed?.
“La vulnerabilidad ‘Heartbleed’ es un problema que afecta a SSL, una tecnología que ayuda a que los datos se mantengan privados mientras se transmiten en internet. Todos los usuarios interactúan directamente con SSL todos los días sin saberlo, cuando accede a sitios de redes sociales, revisa su correo, realiza compras en internet o hace una transacción financiera a través de banca en línea. SSL es la tecnología que está presente cuando se observa un candado en el navegador después de una liga que empieza con https://” señaló, Juan Pablo Castro, director de innovación tecnológica de la firma Trend Micro.
Si este fallo de seguridad es explotado, le permitirá al atacante monitorear y almacenar todas las comunicaciones entre el usuario y el sitio web sin importar si estas están cifradas o protegidas.
“Esto significa que la información confidencial y privada de los usuarios, como contraseñas, información de tarjeta de crédito, documentos confidenciales, o cualquier otro tipo de información que transite por internet utilizando este tipo de comunicación, puede ya estar en manos de un atacante o un tercero mal intencionado”, agregó Castro.
¿Qué se debe hacer ante Heartbleed?
Las empresas deben mantener la seguridad y privacidad de los datos de los usuarios y no ponerlos a la vista de los atacantes. Por lo tanto, Castro sugiere que, todos los sitios de internet en México que manejen datos personales de particulares, deberán informar a sus usuarios tres cosas:
- Si el sitio de internet de su empresa o institución cuenta o no con este fallo de seguridad.
- De contar con esta vulnerabilidad, señalar si fue resuelta o determinar la fecha en la que se espera tener una solución.
- Luego de que el fallo fue resuelto, informar a los usuarios el momento en el que deben cambiar sus contraseñas.
“No contar con este tipo de información de parte de las instituciones que manejan información privada de particulares, deja expuesto a los usuarios de internet y viola la LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES (LFPDPPP) en el caso de contar con este fallo de seguridad”, señaló Castro.
Los usuarios NO deben cambiar sus contraseñas hasta que el propietario del sitio les indique
Los usuarios no deberán de utilizar sus datos personales, realizar transacciones, ni cambiar contraseñas hasta que el proveedor del sitio informe claramente sobre los puntos mencionados anteriormente, ya que los particulares no pueden saber a simple vista si el sitio es vulnerable o no. Es responsabilidad de las instituciones mantener informados a sus usuarios sobre el estado de seguridad de los sistemas que procesan datos privados de particulares.
Con información de Trend Micro