Heartbleed podría afectar el funcionamiento de internet

La buena noticia es que ya actualizaron sus sistemas la mayoría de los grandes sitios web que eran vulnerables a la falla, que afecta ciertas versiones de OpenSSL, un programa libre usado para lograr conexiones seguras en internet.

El problema ahora es que los navegadores como Chrome, Firefox e Internet Explorer podrían verse recargados por la renovación necesaria de los certificados de seguridad, que podría generar el despliegue de mensajes de error y enlentecer el acceso a ciertos sitios, explicó a la agencia de noticias AFP Johannes Ullrich, del SANS Internet Storm Center.

La solución de la falla pasa por la obtención de nuevos certificados de seguridad. Pero esto requiere que los navegadores actualicen su lista de claves o certificados no seguros, que desencadenan una alerta cuando un internauta pretende acceder a esos sitios.

Los navegadores habitualmente pueden actualizar algunas decenas de claves por día, pero a causa de Heartbleed la lista podría aumentar a varias decenas de miles. Si las verificaciones duran largo tiempo, los navegadores simplemente podrían declarar los sitios inválidos o desplegar mensajes de error.

La falla conocida como Heartbleed es un agujero de seguridad en OpenSSL, el software de cifrado más utilizado en la red, que por su masividad (lo utiliza cerca del 60 por ciento de los servicios web) dejó vulnerables no sólo a los smartphones, sino a cientos de miles de sitios y servicios de correo electrónico de todo el mundo.

Si bien su existencia tomó estado público el miércoles pasado cuando los responsables de OpenSSL lanzaron un parche, la vulnerabilidad existe desde hace dos años.

Veo Zhang, especialista en seguridad informática en Trend Micro, explicó que los teléfonos inteligentes también son potencialmente vulnerables, porque se conectan a servidores afectados por la falla y porque esta también podría perjudicar a ciertas aplicaciones.

"Encontramos 273 (aplicaciones) en Google Play" que son vulnerables, escribió en su blog Zhang.

Unos 50 millones de teléfonos con Android serían vulnerables a ataques informáticos debido a Heartbleed.

Se trata de los smartphones que tienen la versión 4.1.1 Jelly Bean del sistema operativo de Google, según un estudio de la empresa de análisis Chitika, citado por el diario inglés The Guardian.

Los aparatos con esa versión de Android serían vulnerables a una acción descrita como reverse Heartbleed, mediante la cual un servidor malicioso podría utilizar la falla del sistema de cifrado OpenSSL para robar datos del navegador de los teléfonos, entre ellos información sobre las sesiones y contraseñas.

También -al menos en teoría- podrían correr peligro aquellos equipos con ediciones anteriores del sistema operativo "abandonadas" tanto por los fabricantes como por las operadoras de telefonía, es decir aquellas que ya no reciben actualizaciones.

Por lo general, según The Guardian, los fabricantes de smartphones brindan soporte de seguridad durante los 18 meses que siguen al lanzamiento de las versiones de Android, y si bien desde Google afirmaron haber distribuido un parche entre operadoras y fabricantes, su implementación depende de estas últimas.

De momento, no hay reportes de que Heartbleed afecte a smartphones con otros sistemas operativos. Blackberry anunció el lanzamiento de actualizaciones de seguridad para su sistema de chat y Microsoft informó que los equipos con Windows Phone no fueron afectados, mientras que Apple no utiliza la versión vulnerable de OpenSSL en sus iPhone ni iPad.

El experto en seguridad de la firma Lookout Marc Rogers recomendó a todas aquellas personas cuyos dispositivos utilicen Android 4.1.1 que eviten realizar operaciones "sensibles" desde sus teléfonos, como utilizar servicios bancarios.