La preocupación por la seguridad en Internet ha ido en aumento durante las últimas semanas debido a un bug llamado Heartbleed, que ha dejado al descubierto la vulnerabilidad del certificado de seguridad web de código abierto OpenSSL, volviendo a poner en tela de juicio la seguridad de nuestros datos en Internet.
¿Qué es Heartbleed y cómo puede afectarnos?
Heartbleed es un fallo de seguridad que afecta a servidores dedicados y virtuales, correos electrónicos y a conexiones VPN (Redes Privadas Virtuales), así como a dispositivos móviles (smartphones, tablets), Smart TV’s, puntos de acceso WIFI, routers y otros dispositivos con conexión a Internet. Esta falla permite acceder a información que debería estar protegida por la encriptación SSL/TLS. El atacante puede acceder a la memoria de un servidor que use OpenSSL (por ejemplo Apache) y obtener las claves privadas SSL. Este grave error de software lleva algo más de dos años en el código de OpenSSL y ha comprometido seriamente la seguridad de dos tercios de las páginas web existentes.
Recomendaciones para sobrevivir a Heartbleed:
A consecuencia de Heartbleed, han corrido ríos de tinta por la red ofreciendo diferentes medidas, recomendaciones y acciones preventivas para estar a salvo de esta vulnerabilidad. Desde Nominalia y Escuela de Internet, recomendamos seguir esta serie de indicaciones de seguridad tanto a administradores de servidores como a usuarios para evitar verse afectados por Heartbleed y en líneas generales, mejorar la seguridad en Internet:
- En caso de que el servidor de un sitio esté configurado para acceder empleando el prefijo https:// es recomendable actualizar las librerías del sistema y sustituir los certificados y las claves que podrían estar afectados. El acceso remoto a través de SSH no está afectado por esta vulnerabilidad.
- Aplicar un parche y actualizar a una versión de OpenSSL que no se vea afectada.
- Solicitar un nuevo certificado de seguridad del sitio.
- Anular el certificado de seguridad anterior.
- Se recomienda no entrar en los sitios afectados. LastPass dispone de una herramienta para analizar si una web se encuentra afectada por Heartbleed. Google Chrome ha puesto a disposición de sus usuarios la extensión Chromebleed que manda alertas en caso de estar navegando por alguna página infectada.
- Una vez que se haya corregido el problema, se deben cambiar las contraseñas que se usen habitualmente y mejorar la seguridad de las mismas, creando claves de longitud superior a 6 caracteres, incluyendo números y/o símbolos, etc.
- Instalar la nueva versión de OpenSSL, la 1.0.1g o superior. Hay que advertir que este código es vulnerable al bug solamente en su versión 1.0.1f y que, en general, basta con actualizar la versión para estar protegidos. Los expertos en hosting de Nominalia indican las versiones vulnerables a este bug:
- De la versión 1.0.1 a la versión 1.0.1f (incluida) son VULNERABLES
- OpenSSL 1.0.1g NO es vulnerable
- OpenSSL 1.0.0 (todo el rango) no son vulnerables
- OpenSSL 0.9.8 (todo el rango) no son vulnerables
- Instalar actualizaciones periódicamente.
- Consultar a los proveedores de hosting. Para cualquier duda sobre seguridad web y hosting, Nominalia dispone de un servicio de atención al cliente desde su panel de control o por teléfono a través del número 93 288 40 62, con horario de lunes a domingo de 8:00 a 20:00 horas.
Nominalia ofrece todas las garantías en alojamiento web y las más efectivas soluciones de protección y seguridad como Sitelock, que protege un sitio web ante vulnerabilidades, malware y ciberataques, y Certificados de Seguridad SSL para proteger servidores virtuales y dedicados.
En estos enlaces se puede encontrar más información sobre Heartbleed y cómo resolverlo:
