Cómo actuar ante el agujero de seguridad Heartbleed

Un agujero recientemente descubierto en la tecnología usada ampliamente para la encriptación en la web ha desatado todas las alarmas en los últimos días. El fallo de seguridad ha permitido que los datos de muchas webs mundiales importantes hayan quedado vulnerables al robo por parte de hackers, en lo que los expertos califican como una de las brechas de seguridad más graves de los últimos años. El hallazgo de la llamada vulnerabilidad Heartbleed por parte de investigadores de Google y de la pequeña firma de seguridad Codenomicon ha llevado a organismos públicos de diferentes países a alertar a las empresas de que revisen sus servidores para comprobar si estaban utilizando versiones vulnerables de OpenSSL, una librería de software utilizada para cifrar las comunicaciones entre nuestro navegador y el servidor donde se aloja el servicio que estemos utilizando. También muchas empresas han pedido a sus clientes que cambien de contraseña para evitar problemas. Expertos de la empresa española de seguridad S21Sec explican a CincoDías en qué consiste el fallo, a quién afecta, y qué hacer.

P. ¿Qué agujero de seguridad se ha detectado exactamente?

R. Es una vulnerabilidad en una extesión del protocolo OpenSSL que permite tener acceso (en los servidores vulnerables) a datos que de otra forma deberían permanecer confidenciales.

P. ¿Qué empresas han estado afectadas o han podido estar expuestas su seguridad?

R. OpenSSL/TLS es usado como protocolo criptográfico por defecto en la mayor parte de sistemas operativos de tipo Linux (presentes en ordenadores de sobremesa, servidores y routers), populares servidores de páginas web como Apache y Nginx (66% del total a nivel mundial), servicios de correo, chat y clientes de redes privadas virtuales (VPN). Por lo tanto, cualquier empresa que haya tenido o tenga uno de estos servicios expuesto en internet desde enero de 2011 ha podido estar en riesgo por este ataque.

P. ¿Es tan grave el incidente como para requerir de acciones urgentes?

R. Bruce Schneier, uno de los más reputados expertos en criptografía a nivel mundial, ha situado el suceso como un 11 en una escala de 10. Desde nuestro punto de vista la acción ha de ser inmediata, ya que esta vulnerabilidad permite romper la privacidad de las comunicaciones así como suplantar páginas legítimas.

P. ¿El grado de urgencia es igual para todos?

R. Desde luego es muy alto y requiere una acción inmediata. Por lo menos para las empresas que manejen información confidencial de sus clientes o empleados a través de la red.

P. Parece ser que antes de hacerse pública la vulnerabilidad los autores del descubrimiento hablaron con empresas para que tomaran medidas. ¿Es cierto? ¿Desde su compañía se realizó algún tipo de accción?

R. Se contactó a un número muy limitado de empresas involucradas en el desarrollo de OpenSSL, así como a fabricantes de hardware y equipos de comunicaciones desde diciembre. Sin embargo, al parecer el agujero de seguridad fue filtrado antes de que estos pudieran distribuir las actualizaciones de software o firmware que solucionan el problema. Nosotros hemos contactado también con nuestros clientes, a los que hemos notificado mediante una alerta temprana. Desde el Centro de Respuesta de Incidentes de Seguridad (CERT) de S21sec estamos haciendo además vigilancia digital de páginas webs que se publican en listados de sitios vulnerables. S21sec, como la mayoría de empresas de seguridad, tuvo conocimiento del fallo de seguridad la madrugada del lunes 7 al martes 8 de abril.

P. Una vez que se detecta el agujero, ¿qué medidas debe tomar el consumidor final? ¿Y las empresas?

R. Principalmente la responsabilidad de la acción recae en los proveedores de servicio, los cuales deben de parchear la vulnerabilidad, revocar sus certificados digitales previos al parcheo y emitir otros nuevos. El consumidor final puede comprobar si los servicios que usa son vulnerables en la página http://filippo.io/Heartbleed/. En cualquier caso, aconsejamos a todo el mundo cambiar las contraseñas de aquellas cuentas que sean críticas (banco, correo, etcétera).

P. ¿Qué número de empresas han podido sufrir consecuencias en España? ¿Hay algunos sectores más afectados que otros?

R. El porcentaje de empresas afectadas en España será similar al de otros países en nuestro entorno. No estamos autorizados a dar nombres. En cuanto a qué sectores han sido afectados, esta vulnerabilidad no afecta tanto por sectores como por las tecnologías y productos elegidos para brindar seguridad y privacidad a sus comunicaciones.