Mostrando entradas con la etiqueta contraseñas. Mostrar todas las entradas
Mostrando entradas con la etiqueta contraseñas. Mostrar todas las entradas

viernes, 11 de abril de 2014

Heartbleed: probablemente el mayor fallo de seguridad de la historia de Internet

Heartbleed
Heartbleed, un importantísimo fallo de seguridad en el software de cifrado Open SSL, que está presente desde la versión 1.0.1 lanzada el 14 de marzo de 2012 y es usado en el protocolo de comunicación segura de Internet htpps, que puede comprometer todas tus cuentas.

Puede que se trate del fallo de seguridad más grande de la historia de Internet. Aprovecharse de este fallo para apoderarse de usuarios y contraseñas, u otros fines, no deja huella alguna por lo que no se puede saber que sitios han sido comprometidos.

El fallo fue localizado la semana pasada por técnicos de Google y de la empresa de seguridad Codenomicon.

Este software de cifrado es utilizado por los servidores Apache, los sitios que están alojados en servidores Microsoft IIS no están afectados.

Empresas como Google, Facebook, Youtube, Twitter, Yahoo, Blogspot, Amazon, WordPress o Pinterest usan este tipo de servidores y han estado afectadas, pero ya han solucionado el problema.

Los usuarios no podemos hacer nada por evitarlo ni solucionarlo. La solución tiene que venir de los propios sitios web afectados.

Lo único que podemos hacer para protegernos es cambiar las contraseñas, aunque si el sitio no ha implementado todavía una solución no servirá de mucho porque podrá ser capturada de nuevo, en este caso hay que cambiarlas con la mayor frecuencia posible o esperar unos días para hacerlo.

Además en los sitios que lo permitan hay que activar la verificación en dos pasos, que consiste en que para acceder a un sitio no basta con el usuario y contraseña, también hace falta un código que se manda al móvil, por lo que para acceder tendrían que tener el usuario, la contraseña y también nuestro móvil o nuestro ordenador.

La verificación en dos pasos la ofrecen proveedores como Microsoft, Google, Facebook, Yahoo y Twitter está en ello. También la ofrecen los bancos en los que además de usuario y contraseña se necesita una firma y un código de confirmación que se manda al móvil o se obtiene de una tarjeta que proporciona el banco.

El fallo sólo afecta a webs "seguras" las que usan el protocolo https.

También podemos conocer si un sitio web ha solucionado el problema poniendo su nombre de dominio en esta web: http://filippo.io/Heartbleed/