Una grave falla de seguridad online puso a millones de usuarios en riesgo

Fue detectada por una empresa privada. Los grandes sitios de Internet debieron tomar medidas de urgencia.

En ocasiones, la seguridad informática hace pensar en una muralla de una altura y un espesor descomunales, con ventanas reforzadas en la que, sin embargo, de vez en cuando se descubre un ancho portón, abierto y sin protección que lleva directo a los datos más valiosos y críticos de las personas comúnes. Eso está ocurriendo en estos días. Aunque pasó hasta ahora inadvertido, esa vulnerabilidad existe hace unos dos años y estuvo o está en un inmenso número de servidores de Internet.

Se trata de una falla de seguridad en un software que dejó desprotegida información personal de millones de usuarios de Internet. Datos como nombres de usuario y contraseñas de servicios de correo electrónico, redes sociales, servicio de almacenamiento de archivos y mensajeros instantáneos y redes privadas están o estuvieron en riesgo, lo mismo que contraseñas y claves bancarias.

La vulnerabilidad fue descubierta recién en los últimos días. Y aunque no se han reportado robos de datos, no puede tenerse certeza de que no hayan ocurrido, ya que, hasta que se conoció la falla, un ataque que aprovechara este punto débil no hubiera dejado rastros y la víctima no hubiera tenido modo de notar la agresión.

A la vez, para estos casos, los expertos señalan que las empresas afectadas suelen hacer todo lo posible para que no se difunda su condición de víctima de ataques.

Existen versiones que indican que los grandes sitios de Internet como Google, Facebook, Twitter y otros tomaron conocimiento de la grave falla hace algunas semanas, lo que les permitió repararla, operación no demasiado complicada, ya que para ello basta con adquirir una nueva versión del software defectuoso en la que la falla ya no aparece.

A la vez, se supo que los sitios de Yahoo! sufrieron la falla hasta hace pocas horas, pero ya la repararon.

Según le explicó a Clarín Raúl Batista, especialista en seguridad informática del portal Segu-Info, la vulnerabilidad, bautizada como Heartbleed (algo así como corazón sangrante) afecta a la librería (conjunto de rutinas preprogramadas) criptográfica OpenSSL, que es muy utilizada porque es gratis y porque resuelve operaciones muy complejas en la comunicación cifrada (encriptada).

Para Batista, la falla está entre las que quedará en la historia de la seguridad informática, por el potencial impacto que podría implicar, por su gran alcance (se estima que hasta dos terceras partes de los sitios de Internet usan OpenSSL) y porque los datos afectados son justamente aquellos que son más sensibles, es decir los encriptados.

La falla Heartbleed le permite a cualquier hacker acceder a la memoria de los servidores protegidos por las versiones vulnerables del OpenSSL. Esto, dijo Batista, compromete las claves usadas por los proveedores de servicios para encriptar el tráfico, los nombres y contraseñas de los usuarios y el contenido del sitio.

Tal vez lo más inquietante de este hecho es que, con esta información, un hacker podría crear o haber creado un sitio falso que podría reemplazar al original de tal modo que sería imposible para el usuario darse cuenta de que, por ejemplo, está dejando sus claves bancarias en manos de un delincuente informático.

“Cabe una posibilidad cierta de que sabiendo de antemano sobre esta vulnerabilidad y cómo explotarla haya habido ciberdelincuentes que podrían haber estado abusando de Heartbleed y obteniendo desde hace muchos meses usuarios y contraseñas de todos los servicios que padecían esta falla y claves privadas de certificados usados en sitios web públicos o privados”, dijo Batista.

El experto agregó que, para extremar precauciones, de modo preventivo, los usuario de servicios web como correo, redes sociales y otros que fueron vulnerables, deberían cambiar su contraseña de inmediato. Lo difícil para los usuarios es saber qué sitios sufrieron el problema y si ya lo repararon.

Otros expertos, en tanto, sugieren que si se cambia la contraseña antes de que el sitio repare la falla, la nueva contraseña también quedaría expuesta.

Expertos del portal Segu-Info aplicaron a los sitios de bancos y tarjetas de crédito de la Argentina una herramienta que comprueba la presencia de la falla Heartbleed y los resultados fueron bastante tranquilizadores. De todos los sitios de bancos y tarjetas evaluados en solo uno apareció un resultado dudoso. “Eso no quiere decir que ese sitio no haya reparado la falla; lo más probable es que esté en proceso de hacerlo y que mientras, como medida de prevención, el sitio interrumpiera algunos procesos y arroje ante el test un resultado dudoso”, explicó Batista.