La noticia sobre «Heartbleed» invadió el mundo entero en Abril de 2014. Sin embargo esta alarma y su descubrimiento llegan tarde a los usuarios, especialmente a los administradores de sistema quienes tenemos a cargo toda la data de nuestro portafolio de clientes.

Pero analicemos que es «Heartbleed», que hace y que consecuencias trae.

Heartbleed (“El corazón que se desangra”)

Refiere directamente a una filtración de datos inesperada en el “corazón” de Internet: el servidor.

Descubierto por el departamento de seguridad de Google, es definible como un problema de seguridad para los usuarios de OpenSSL, una biblioteca de código abierto de software criptográfico utilizado ampliamente. Puede permitir que los atacantes lean la memoria de los sistemas que utilizan las versiones vulnerables de la biblioteca OpenSSL (1.0.1 hasta 1.0.1f). Esto puede revelar las claves secretas de los servidores, que permite a atacantes descifren y espien las comunicaciones SSL cifrada y suplantar a los proveedores de servicios. Además, otros datos de la memoria pueden ser revelados, que posiblemente podría incluir nombres de usuario y contraseñas u otros datos almacenados en la memoria del servidor.

Cientos de miles de servidores de Internet podrían haber tenido hasta dos años hacia atrás un alto nivel de vulnerabilidad para datos almacenados en carácter de “seguros”, por lo que nadie aventura con seguridad que puede haber ocurrido en ese ínterin.

Las publicaciones técnicas han calificado de verdadero “Apocalipsis digital”, el descubrimiento y descartan de plano que sea posible tomarse a la ligera el problema, recomendando inclusive tomarse el tiempo para cambiar todas las contraseñas que se tengan en Internet, a fin de replantear la propia seguridad.

Desde la ICANN (Internet Corporation for Assigned Names and Numbers), se reconoce oficialmente que el problema existe y que se ha tratado de “mitigar”, pero plantea una serie de recomendaciones de primer orden para determinar si se está en riesgo ante el Heartbleed Bug.

Mientras los gigantes de la web (Google, Yahoo, Amazon, etc.) han confirmado el arreglo de sus servidores, se entiende que al menos un millón de sitios web podrían haber estado altamente vulnerables durante más de 24 meses, un período en absoluto despreciable.

Nuestra recomendación

Para los usuarios en general, está claro que deben cambiar sus contraseñas de correo electrónico y cualquier otra cuenta susceptible, tal como PayPal o cuentas bancarias sobre todo. No pudiendo volver atrás con respecto a posibles filtraciones pasadas, por supuesto, pero nunca está demás de tanto en tanto, cambiar las claves en Internet.

Para los clientes de FacilPlan la recomendación anterior no es necesaria tratándose del famoso «Heartbleed», debido a que nuestro servidor posee Certificado de Seguridad y no opera con Open SSL (la zona vulnerable) sino que lo hace con Open SSH. Pequeña diferencia de solo una letra pero segura al fin.

A continuación les ofrecemos el resultado del Test de nuestro servidor: