El agujero 'Heartbleed' compromete gravemente los datos de usuarios

miércoles 9 de abril de 2014 14:12 CEST
 

BOSTON, EEUU, 9 abr (Reuters) - Un agujero recientemente descubierto en la tecnología usada ampliamente para la encriptación en la web ha permitido que los datos de muchas webs mundiales importantes hayan quedado vulnerables al robo por parte de hackers, en lo que los expertos dicen es una de las brechas de seguridad más graves de los últimos años.

El hallazgo de la llamada vulnerabilidad "Heartbleed" por parte de investigadores de Google y la pequeña firma de seguridad Codenomicon llevó al Departamento de Seguridad del Gobierno de Estados Unidos a alertar a las empresas el martes de que revisaran sus servidores para comprobar si estaban usando versiones vulnerables de un tipo de software conocido como OpenSSL.

Añadió que las actualizaciones están ya disponibles para abordar la vulnerabilidad de OpenSSL, que podría permitir a agresores remotos acceder a datos delicados como contraseñas y claves secretas que pueden descodificar el tráfico en su recorrido por Internet.

"Hemos probado algunos de nuestros propios servicios desde la perspectiva del agresor. Nos atacamos a nosotros mismos desde fuera, sin dejar rastro", dijo Codenomicon en una web construida para proporcionar información sobre la amenaza, heartbleed.com.

Expertos en seguridad informática advirtieron de que eso significa que las víctimas no pueden decir si se ha tenido acceso a sus datos, lo que es preocupante porque el gusano existe desde hace aproximadamente dos años.

"Si una web es vulnerable, yo podría ver cosas como la contraseña, la información bancaria y los datos sanitarios, que tú tienes la impresión de que has estado mandando correctamente a tu web", dijo Michael Coates, director de seguridad de producto de Shape Security.

Chris Eng, vicepresidente de investigación de la firma de seguridad de software Veracode, dijo que estima que centenares de miles de servidores web y de correo electrónico en todo el mundo tienen que ser parcheados lo antes posible para protegerlos de ataques de hackers que se aprovechan de la vulnerabilidad ahora que se ha hecho pública.

La web de tecnología Ars Technica informó de que el investigador de seguridad Mark Loman pudo extraer datos de servidores del correo de Yahoo usando una herramienta gratuita.

Un portavoz de Yahoo confirmó que el correo de Yahoo era vulnerable a un ataque, pero dijo que había sido parcheado junto con otros sitios principales de Yahoo, como las búsquedas, las finanzas, los deportes, Flickr y Tumblr. (Información de Jim Finkle; Información adicional de Alexei Oreskovic en San Francisco; traducido en Madrid por Inmaculada Sanz)