Tiempos oscuros para OpenSSL
Aunque puede sonar como el título de un álbum de Slayer, en realidad Heartbleed se refiere a una vulnerabilidad de seguridad grave en OpenSSL. Casi omnipresente, OpenSSL es una biblioteca de cifrado de código abierto que es usado por tal vez hasta dos tercios de los sitios web de Internet. Estas webs utilizan OpenSSL como mecanismo para implementar conexiones seguras y cifradas de SSL y TLS. TLS y su predecesor SSL son protocolos criptográficos que garantizan la seguridad de comunicación online.
Los ataques dirigidos a la vulnerabilidad Heartbleed, que al parecer es bastante fácil de explotar y muy difícil de detectar, pueden tener consecuencias nefastas para los usuarios normales de Internet. Si se explotara el bug en la manera adecuada, esta vulnerabilidad podría revelar claves privadas de certificados, combinaciones de nombres de usuarios y contraseñas, y una variedad de otros datos sensibles.
Las noticias empezaron a hablar de Heartbleed a principios de esta semana, cuando OpenSSL anunció que había proporcionado una solución para la vulnerabilidad. Desde entonces, la gravedad de Heartbleed ha sido registrada y es casi la única cosa que cualquier persona en la industria de la seguridad ha discutido, escuchado, o leído. Teniendo en cuenta lo que sabemos sobre Heartbleed, probablemente querrás hacer un poco de limpieza a nivel digital – sobre todo en lo que respecta a tus contraseñas. Deberías definitivamente leer el tutorial sobre Heartbleed que publicamos en Kaspersky Daily ayer por la mañana. Te dará una explicación bastante sencilla de lo que es – de hecho – un problema muy complicado. También tiene consejos sobre qué páginas son o eran vulnerables y cómo proceder a partir de ahí.
La lista de las páginas web afectadas por Heartbleed cambia constantemente, pero puedes utilizar esta herramienta para verificar la seguridad de casa página. Hay que considerar, además, que muchas plataformas de juegos online (como Nintentdo, Callo f Duty o Leage of Legends) cayeron víctimas de Heartbleed y ahora están pidiendo a sus usuarios el cambio de las contraseñas. Aquí puedes encontrar una lista en Digital Trends.
Si te interesa todo esto del cifrado (o estás muy confundido acerca de lo que es la criptografía y cómo funciona), puedes ir a leer nuestro artículo explicativo sobre las funciones criptográficas hash. No está directamente relacionado con el caso de OpenSSL, pero no hace daño expandir ese cripto-vocabulario de vez en cuando.
El final de una época
Si me hubieras preguntado la semana pasada sobre el tema principal de esta semana, hubiera dicho que iba a ser exclusivamente el tema de Windows XP. El martes 08 de abril 2014 marcó la última vez que Microsoft publicaría correcciones de seguridad públicas para su sistema operativo Windows XP de más de 12 años de edad. Desde hace tiempo se sabía que la edición del “Patch Tuesday” de abril 2014 sería el último en el que Microsoft emitiría correcciones para XP.
El problema es: XP sigue siendo un sistema operativo dominante. Lo puedes ver en los ordenadores en las oficinas del médico y los hospitales, en las interfaces de pago de los terminales punto de venta y en los cajeros automáticos, es el sistema operativo subyacente para un número desconocido de dispositivos integrados, e incluso puede ser el sistema operativo que usas personalmente cada día. Dicho todo esto, he leído las estimaciones sobre la cuota de mercado global del sistema operativo que van desde 18 por ciento a 28 por ciento. Que no haya ilusiones, Windows XP no se va a ninguna parte. El fin del soporte simplemente significa que cualquier nueva vulnerabilidad encontrada en el sistema operativo nunca será arreglada.
Para una explicación completa sobre qué significa todo esto, puedes leer este breve resumen de la historia y el futuro de Windows XP, que fue en un tiempo el sistema operativo más ubicuo del mundo.
Otras noticias
Se perdió un poco, pero Google presentó esta semana lo que parece ser un paso de “la-seguridad-del-usuario-va-primero” bastante fuerte. La empresa reforzó la seguridad en su sistema operativo Android para móviles con una función que supervisará continuamente las aplicaciones en los dispositivos de usuarios para asegurar que estas no estén actuando de forma malintencionada o superan los permisos con acciones no deseadas.
Los sistemas existentes, conocidos como Bouncer y Verify Apps, exploran el Play Store de Google y advierten a los usuarios si hay un posible problema con una aplicación que se está instalando. En algunos casos, Google bloqueará la instalación de esas aplicaciones directamente. La nueva función va un paso más allá, monitorizando aplicaciones que ya se han instalado, para proteger contra los desarrolladores que a veces envían actualizaciones a las aplicaciones instaladas, añadiendo funcionalidades maliciosas o no deseadas. Resumiendo, estas medidas están destinadas a frenar el creciente problema de las aplicaciones de Android maliciosas que están apareciendo en el Store de Google Play.