Codenomicon alerta sobre Heartbleed, un enorme error de seguridad en Internet


Codenomicon, una pequeña empresa de seguridad informática, anunció el descubrimiento de una grave vulnerabilidad en el sistema de encriptación de Internet, que permitiría espiar las comunicaciones, robar información confidencial directamente de los servicios y de los usuarios, e incluso suplantar a éstos.

heartbleed

 

De acuerdo con lo informado por Codenomicon, la falla, identificada con el nombre clave de Heartbleed, fue detectada en la biblioteca de OpenSSL, que es el software de codificación destinado a proteger la seguridad y la privacidad de datos sensibles en Internet, como las contraseñas y otros datos utilizados en aplicaciones como el correo electrónico, los servicios de mensajería instantánea y algunas redes virtuales privadas.

El error permite que los hackers puedan traspasar esa codificación y acceder a la memoria de los sistemas supuestamente protegidos por las versiones vulnerables del software OpenSSL, todo ello sin dejar rastro alguno del ataque.

Según indica el reporte de la compañía de seguridad, el bug Heartbleed se introdujo en OpenSSL en diciembre de 2011 y ha estado presente  el 14 de marzo de 2012. La posterior introducción de la versión 1.0.1g de dicho software, producida el 7 de abril de 2014, habría corregido esta grave falla.

Este error fue descubierto en forma independiente por tres ingenieros de seguridad de Codenomicon, y por Neel Mehta de Google Security, quien informó por primera vez al equipo de OpenSSL sobre el problema.

Algunos de los sistemas operativos que incluyen las versiones vulnerables de OpenSSL que estuvieron y podrían estar expuestos a sufrir ataques de hackers aprovechando la brecha en la seguridad, son:

  • Debian Wheezy (estable): Con OpenSSL 1.0.1e-2 + deb7u4
  • Ubuntu 12.04.4 LTS: Con OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5: Con OpenSSL 1.0.1e-15
  • Fedora 18:  Con OpenSSL 1.0.1e-4
  • OpenBSD 5.3. y 5.4.: Con OpenSSL 1.0.1c del 10 de mayo 2012
  • FreeBSD: Con OpenSSL 10.0 – 1.0.1e del 11 de febrero 2013
  • NetBSD 5.0.2. Con OpenSSL 1.0.1e
  • OpenSUSE 12.2 : Con OpenSSL 1.0.1c

Lamentablemente, no se puede determinar con exactitud cuáles fueron los servicios o usuarios de la Web que sufrieron robo de información sensible a través de la explotación del error, debido a que no quedan huellas de la filtración.

Por su parte, OpenSSL emitió una breve declaración confirmando la existencia de la falla, aclarando que sólo las versiones de su software 1.0.1; 1.0.2-beta; 1.0.1f y 1.0.2-beta1, presentaban esta grave vulnerabilidad, por lo que recomienda a sus usuarios actualizar a OpenSSL 1.0.1g.

La novedad de la falla fue transmitida por Codenomicon a las autoridades encargadas de la ciberseguridad en las comunicaciones, quienes emitieron las correspondientes alertas a desarrolladores de sistemas operativos, software y proveedores de dispositivos que podrían verse afectados por el bug Heartbleed.




Ruben

Rubén es editor del sitio desde el año 2010. Colabora regularmente escribiendo noticias sobre tecnología, software, negocios, gadgets y ciencia. Sus intereses son Tecnología y Relaciones internacionales, tópico con el que también colabora en otros medios de publicación web.

Puede interesarte

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *