El pasado 7 de abril fue anunciado al mundo la vulnerabilidad del Heartbleed. Esto consiste en una deficiencia del protocolo SSL que usan muchos de los websites actuales, la cual permite la extracción de información sensitiva de los mismos.

Es preciso recordar que hoy en día SSL no solo es utilizado para encriptar la comunicación en entre los dos puntos, sino que también es el medio por el cual se valida que el site al que nos conectamos es legítimo. El agravante que trae esta nueva falla es que, personas malas intencionadas y con los conocimientos necesarios, pueden tomar información sensitiva de los clientes finales como usuario y contraseña.

¿Qué se puede hacer?

Aunque esta vulnerabilidad existe desde hace 2 años, solo hace 3 semanas que fue descubierta. A modo de mitigar cualquier robo de identidad podemos ejecutar los siguientes pasos:

Cambiar todas las contraseñas de todos los servicios que utilizamos. No importa si el site en cuestión ha sido declarado con la deficiencia del SSL o no, es saludable reemplazar todas las claves por otras igualmente complejas y diferentes para cada producto. Para simplificar el proceso de generación y almacenamiento de las mismas pudiera utilizarse un administrador de claves.

Activar los servicios de autenticación de dos factores donde esté disponible.

Si utiliza clientes para los correos como Outlook, con autenticación SSL, es recomendable hacer el cambio de contraseña también.

Al momento de este escrito, el sitio web disponible para validar si un site sufre de esta vulnerabilidad es https://lastpass.com/heartbleed.

Así mismo, entre los sitios populares donde se recomienda cambiar las claves están:

Facebook.
Instagram.
Pinterest.
Tumblr.
Google / gmail.
Yahoo / yahoo mail.
GoDaddy.
Flickr.
Minecraft.
Netflix.
Youtube.
WordPress.
Wikipedia.
Dropbox.
Github.

Finalmente, es importante estar atento al phising en cualquiera de sus formas. En estos días, donde la noticia del Heartbleed está por todos lados, se espera que fluyan muchos correos invitando a los usuarios a entrar a diferentes URLs para “actualizar” sus datos.

Fuentes:

http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-2014-special_en.pdf

https://lastpass.com/heartbleed/

http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/