La semana pasada, se descubrió que la vulnerabilidad «Heartbleed» (http://heartbleed.com) había afectado a la conocida biblioteca de software criptográfico OpenSSL, que se utiliza con aplicaciones y servidores web como Apache y Nginx, además de para otros muchos usos. En determinadas versiones de OpenSSL (de la 1.0.1 a la 1.0.1f, ambas incluidas), existe el riesgo de que los ciberdelincuentes accedan a la memoria de los sistemas, obtengan las claves secretas necesarias para descifrar y espiar las comunicaciones protegidas mediante la tecnología SSL, y suplanten a los proveedores de servicios. Además, es posible que los datos de la memoria contengan información confidencial, como nombres de usuario y contraseñas.
Heartbleed no es una vulnerabilidad de la tecnología SSL/TLS, sino un error de programación en la implementación de la extensión heartbeat de OpenSSL. Esto no quiere decir que SSL/TLS haya dejado de funcionar; al contrario, sigue siendo la tecnología líder para cifrar los datos que se transmiten por Internet. Sin embargo, debido a la popularidad de OpenSSL, es posible que actualmente use el software afectado en torno al 66 % de Internet, el equivalente a dos tercios de los servidores web (según el informe sobre servidores web de Netcraft). Las empresas que usan OpenSSL deberían pasarse a la versión 1.0.1g, en la que el problema ya está solucionado, o recompilar OpenSSL sin la extensión heartbeat lo antes posible.
Symantec ya ha tomado medidas para reforzar la seguridad de sus sistemas, como corresponde a la principal autoridad de certificación del mundo. Nuestras raíces están a salvo, pero aun así estamos siguiendo los protocolos recomendados y hemos modificado las claves de todos los certificados de los servidores web que utilizaban las versiones de OpenSSL afectadas.
Symantec recomienda a las empresas que, tras actualizar o recompilar sus sistemas, sustituyan todos los certificados de los servidores web (independientemente de quién los haya emitido) para evitar posibles incidencias de seguridad. Tenemos previsto facilitar a todos nuestros clientes nuevos certificados gratuitos.
Por último, instamos a los clientes a que, por precaución, cambien las contraseñas de las consolas de gestión de certificados SSL y de firma de código (Code Signing). Una vez restablecida la seguridad de los sistemas, es recomendable que las empresas también pidan a sus clientes que cambien las contraseñas.
Seguiremos colaborando con nuestros clientes para reducir al mínimo las consecuencias de esta vulnerabilidad, pero a continuación resumimos los pasos básicos para protegerse.
En el caso de las empresas, recomendamos:
- actualizar las versiones de OpenSSL afectadas (de la 1.01 a la 1.0.1f, ambas incluidas) a la versión 1.0.1g, o bien recompilar OpenSSL sin la extensión heartbeat;
- sustituir el certificado del servidor web tras adoptar una versión segura de OpenSSL;
- restablecer por precaución todas las contraseñas de los usuarios, ya que alguien podría haberlas obtenido al infiltrarse en la memoria del servidor.
Por su parte, los consumidores deberían:
- saber que, si los proveedores de los servicios que utilizan se han visto afectados por Heartbleed, es posible que la confidencialidad de sus datos no esté garantizada;
- estar pendientes de los avisos que reciban y cambiar las contraseñas si el proveedor de un servicio afectado se lo solicita;
- fijarse bien en quién envía los mensajes de correo electrónico en los que se solicita un cambio de contraseña y asegurarse de que los enlaces conducen al sitio web oficial, ya que podría tratarse de intentos de phishing.