heartbleed
Heartbleed es un agujero de seguridad en OpenSSL que fue descubierto por la firma de seguridad finlandesa Codenomicon y publicado en abril 7, 2014. OpenSSL es el cifrado tecnología utilizada para crear conexiones seguras a sitios web HTTPSestablecer VPNsy encriptar varios otros protocolos. Dado que OpenSSL es utilizado por aproximadamente dos tercios de servidores web, la vulnerabilidad se considera uno de los agujeros de seguridad más importantes descubiertos desde el comienzo de la web.
¿Cómo funciona Heartbleed?
El exploit Heartbleed aprovecha la comunicación inicial entre cliente y a la servidor. Este paso preliminar se denomina comúnmente "apretón de manos", aunque OpenSSL proporciona una variación denominada "latido del corazón". El latido se utiliza para establecer una conexión segura, pero los datos transmitidos durante el latido no se envían de forma segura.
Al enviar información falsa a un servidor, un pirata informático puede recuperar 64 kilobyte fragmentos de datos del servidor cache. Si bien esta es una pequeña cantidad de datos, es suficiente para contener un nombre de usuario, contraseñau otra información confidencial. Al realizar varias solicitudes seguidas, un pirata informático puede capturar grandes cantidades de datos privados en caché en la memoria de un servidor.
The Heartbleed error es específico de OpenSSL 1.0.1 a través de 1.0.1f y versión 1.0.2-beta1. Otras versiones de OpenSSL y otros tipos de implementaciones de TLS (seguridad de la capa de transporte) no se ven afectadas. Después de que el error se dio a conocer en abril 7, muchos servidores web fueron parcheados inmediatamente con la versión 1.0.1g. Sin embargo, se desconoce cuántos servidores se vieron afectados y cuántos siguen utilizando la versión vulnerable de OpenSSL.
¿Cómo me afecta Heartbleed?
Es poco probable que se vea directamente afectado por el error Heartbleed. Si bien el agujero de seguridad no se detectó durante dos años, hay poca evidencia de que el exploit haya sido ampliamente utilizado. Aún así, para estar seguro, puede protegerse actualizando sus contraseñas para el sitio web logins, cuentas de correo electrónico y otros servicios en línea.