viernes, 11 de abril de 2014

Vulnerabilidad heartbleed

Todo lo que quieres saber de la debilidad heartbleed en mi artículo de Techtarget.


Es importante agregar que heartbleed NO es un virus. Es una vulnerabilidad de una librería llamada OpenSSL. Y al momento (11-abr-2014) no hay un virus que aproveche esta debilidad.

Son cosas muy diferentes hablar de vulnerabilidad y virus. 

Una vulnerabilidad es un error de quien haya desarrollado un software. Un virus es un software intencionalmente programado para hacer alguna acción maliciosa en una computadora. 

A veces los virus se aprovechan de una vulnerabilidad de software para hacer daño; otras veces (la mayoría) no aprovecha ninguna debilidad y simplemente hacen daño al ejecutarse.

Algunos medios confunden a heartbleed con un virus. Es totalmente incorrecto. Dicen que se está esparciendo rápidamente por todo Internet; también incorrecto porque es una vulnerabilidad ya presente en OpenSSL y como tal no se "esparce".

Dicen que hay que cambiar contraseñas de los sitios con una versión OpenSSL vulnerable. Sí, es una buena medida de precaución, pero no hay evidencia al día de hoy (11-abr-2014) de que haya habido extracción masiva de passwords de un sitio en particular.

Dicen que es la peor grieta de seguridad de todos los tiempos de Internet. Calma, no hay que ser alarmistas. Internet sigue ahí operando. Que sepamos, no hay hackers metiéndose  a las cuentas de usuarios de N sitios en Internet. Si bien no sabemos si esto sucedió o está sucediendo, los medios asumen que sí pasó. Y a una escala masiva.

Por último, si bien no sabemos si alguien aprovechó esta debilidad heartbleed desde que existe hace un par de años, hoy lo correcto a hacer para los administradores de sitios web es migrar a una versión segura de OpenSSL. Porque ahora sí ya sabemos que hay un problema y sería negligente no hacer nada al respecto.