Debido a la vulnerabilidad descubierta en la biblioteca Open SSL, más de dos tercios de todas las páginas web de todo el mundo se han visto comprometidas. Esta biblioteca encargada de cifrar los datos que se introducen al navegar por algunas de las webs más importantes de todo el mundo ha sufrido un error que permitía el robo de datos confidenciales de los usuarios, como contraseñas y credenciales de acceso.
Los analistas de Kaspersky Lab afirman que esta vulnerabilidad permite que cualquier usuario pueda acceder a datos críticos como nombres de usuario, contraseñas o incluso, la clave privada que utiliza el servidor para mantener cifrada su conexión. Además, la explotación de Heartbleed no deja huellas por lo que no existe forma exacta de saber si el servidor fue hackeado y qué tipo de datos se han podido robar.
Pese a que OpenSSL ha corregido el problema, no se puede garantizar que las páginas webs afectadas por Heartbleed hayan instalado el parche que soluciona el problema. Además, este error es bastante fácil de explotar y ha existido durante más de dos años por lo que muchas webs de interés han podido ser víctimas de robos de datos confidenciales.
Desde Kaspersky Lab ofrecen una serie de medidas para que los usuarios garanticen la seguridad de las páginas web por las que navegan y sepan si sus datos confidenciales están o no comprometidos:
- Comprobar si las páginas web que visitas frecuentemente son o han sido vulnerables. Existen varias herramientas online como Heartbleed Test para verificar la presencia de la vulnerabilidad, pero también es necesario saber si estaba presente antes. Ya se han creado varias listas con webs populares que han sido analizadas. Facebook y Google no han sido afectadas pero Yahoo, Flickr, DuckDuckGo, LastPass, Redtube, OkCupid, Hidemyass, 500px y muchas otras más si han sufrido esta vulnerabilidad. En España, también ha habido víctimas, según datos de ADICAE.
- Cuando los propietarios de estas webs corrigen el error cambian también los certificados del sitio, por lo que hay que comprobar que el navegador está utilizándolo. Para ello, hay que habilitar la comprobación de revocación de certificados en el navegador. Esto evitará que el navegador utilice certificados antiguos. Para comprobar la fecha de emisión del certificado de forma manual, basta con pulsar en el candado verde en la barra de direcciones y hacer clic en “Información” en la pestaña “Conexión”.
- Cuando el servidor se repara y actualiza el certificado es necesario cambiar la contraseña de manera inmediata.
Ilustración: Deymos Photo © Shutterstock.com
