Publicidad

Artículo

“Por supuesto que he cambiado mis contraseñas tras Heartbleed”

“Por supuesto que he cambiado mis contraseñas tras Heartbleed”
Sirag Nabih

Sirag Nabih

  • Actualizado:

Hemos entrevistado a Lorenzo Martínez, CTO de Securízame y editor en Security By Default. Nadie mejor que un experto en la materia para despejar algunas de las principales dudas que le surgirán a los usuarios respecto a Heartbleed.

¿Crees que el peligro Heartbleed se exageró o por el contrario ha sido subestimado por los medios?

Lorenzo Martínez: En mi opinión, en la prensa genérica ha tenido poco impacto un fallo de una magnitud tan grande como Heartbleed. Incluso en TV, no recuerdo haber visto menciones al mismo. Piensa que remotamente, sólo en un número de servidores que se estima en 5 millones, es posible acceder al contenido de la memoria del mismo, donde se almacenan temporalmente información sensible, obteniéndose remotamente, sentado desde un sofá las credenciales de los usuarios que se conectan a un sitio web, información servida e incluso la clave privada del certificado SSL del servidor. La vulnerabilidad es enorme si además contamos con la cantidad de otros dispositivos que se basan en OpenSSL de forma embebida como routers o firewalls comerciales.

¿Cuál es el peligro real para los usuarios de la red?

Lorenzo Martínez: Mientras el conocimiento de la existencia del fallo lo han tenido unos pocos, el impacto de que nuestras credenciales (usuario/contraseña) de acceso a un montón de servicios que usamos diariamente, queda acotado a ese colectivo. Una vez que el fallo y el exploit han sido públicos, la ventana de tiempo que ha pasado entre que los fabricantes han publicado el fallo y que las organizaciones lo han parcheado, así como regenerado los certificados nuevamente, hace que nuestras credenciales de aquellos servicios de los que no podemos prescindir, puedan estar en manos de cualquiera.

¿Cambiaste las contraseñas en los sitios web afectados por Heartbleed?

Lorenzo Martínez: ¡Por supuesto que sí! De hecho, en Mashable publicaron un artículo recopilatorio con montones de servicios afectados. Heartbleed no sólo ha sido de locos para mí como usuario, sino que a nivel de los clientes de Securízame, a los que hemos tenido que guiar urgentemente en el tratamiento de la incidencia.

Hay que pensar que están afectados todos aquellos servicios que utilicen la implementación de TLS que da OpenSSL como base. Es decir, servicios como IMAPS, POP3S, OpenVPN, etcétera, no limitándose el alcance únicamente a HTTPS.

¿Qué opinas de los informes que relacionan el bug con la NSA?

Lorenzo Martínez: Estamos tan acostumbrados a ver a la NSA como ese brillante cerebro con medios y recursos suficientes para hacer que Internet se abra a sus intereses, que no me extrañaría nada que este fallo también haya sido intencionado, y que la NSA haya sido uno de los influencers. Está claro que si quieres tener control de muchos servicios de golpe, hay que comprometer el pilar sobre el que se sustentan más servicios. Hace relativamente poco tiempo se han hecho públicos otros fallos gordos basados en implementaciones criptográficas en Apple y de GNUTLS, en los que ya manifesté mi escepticismo al respecto en un artículo.

¿Qué aconsejas a nuestros usuarios de cara al presente? ¿Y para el futuro?

Lorenzo Martínez: En el presente, utilizar únicamente los servicios mínimos e imprescindibles o que se sepa a ciencia cierta que no son vulnerables, ya sea porque no utilizaban OpenSSL o porque ya hayan parcheado el fallo. En caso de esos servicios que han parcheado el problema, cambiar cuanto antes las credenciales de acceso.

Utilizar contraseñas largas y complejas, no predecibles mediante un diccionario, no reutilizar contraseñas para diferentes servicios y/o utilizar un gestor de contraseñas en local que libere nuestro cerebro de según qué tareas. Otras opciones como activar la autenticación en dos pasos, o usar servicios como Latch de Eleven Paths también es muy recomendable.

Para el futuro, lo único que se puede hacer es estar al día, constantemente informados sobre las vulnerabilidades que se van publicando y ser capaces de reaccionar con agilidad, minimizando el tiempo de exposición. Hay cosas que lamentablemente no están en nuestras manos y ante las que sólo podemos reaccionar en vez de prevenir.

Echa un vistazo a nuestro artículo sobre HeartBleed y comprueba si tu teléfono está a salvo. Puedes seguir a Lorenzo Martínez en Twitter.

Sígueme en Twitter: @siragnabih

Sirag Nabih

Sirag Nabih

Lo último de Sirag Nabih

Directrices editoriales