El 57% de las webs aún no están protegidas contra Heartbleed, según un estudio.

Podría parecer que Heartbleed no nos asusta tanto como pensábamos: apenas un mes después de que cundiera el pánico por el descubrimiento de este fallo de seguridad en el usadísimo protocolo OpenSSL, dos estudios desvelan que ni las webs ni los usuarios han tomado medidas para protegerse.

Según datos de Netcraft publicados por Recode, un 57% de las webs que podrían haberse visto comprometidas por HeartBleed no están protegidas todavía contra esta brecha de seguridad, para la que ya han sido lanzados una serie de parches, actualizaciones y recomendaciones de seguridad. Y los datos sugieren que dos de cada tres webs del planeta se han visto comprometidas por Heartbleed, lo que da una idea de la magnitud del problema. Aun así, este 57% de webs no se corresponde con las más visitadas, como Tumblr y Twitter, sino con aquellas menos populares, especifican los autores del estudio.

Otra encuesta, realizada por Software Advice a 3.000 ciudadanos estadounidenses, indica que el 67% de los entrevistados no han hecho nada para proteger todas esas cuentas o perfiles que podrían haberse visto afectados por Heartbleed.

Dos años sin protección

Heartbleed es un fallo que se produce durante la función Heartbeat del protocolo de seguridad OpenSSL, que, hasta hace poco, era sinónimo de cierta protección y estaba asociado a un icono en forma de navegación que aparecía junto a la barra de direcciones de nuestro navegador para indicarnos que nuestra navegación era, en ese momento, más segura.

Sin embargo, hace alrededor de un mes, un grupo de investigadores, entre los que figuraban varios empleados de Google, desvelaron la existencia de un fallo desde hace más de dos o tres años que podría haber sido aprovechado por todo tipo de hackers y de cibercriminales para interceptar datos y comunicaciones personales, e incluso para hacerse pasar por entidades legítimas para redirigir y controlar la navegación de sus víctimas.

La brecha de seguridad permitiría a los ciberdelincuentes robar datos personales como nombres de usuario y contraseñas, información bancaria y mensajes de correo electrónico privados. Afecta, también, a los dispositivos móviles.

Desconocimiento de los pasos a seguir

La explicación de que tantas webs continúen desprotegidas, sin embargo, no se debe a simple dejadez o pasotismo, sino al hecho de que muchas de ellas no son conscientes de que no han completado de forma correcta los procedimientos para protegerse contra Heartbleed.

Según Netcraft, solo el 14% de las webs afectadas por el fallo de seguridad han dado todos los pasos necesarios para reparar esta brecha, que son los siguientes: sustituir sus certificados de seguridad, revocar los antiguos y establecer un nuevo conjunto de claves criptográficas que permitan generar otras nuevas.

Fuente: ticbeat.com

Heartbleed pone en riesgo a 150 millones de «apps» descargadas.

Numerosas aplicaciones disponibles en la Google Play Store, que han registrado ya unos 150 millones de descargas, son vulnerables al fallo de seguridad Heartbleed, detectado hace varias semanas en el utilizadísimo protocolo de seguridad OpenSSL.

Los investigadores Yulong Zhang, Hui Xue y Tao Wei han desvelado los resultados de un estudio, en el que han analizado más de 50.000 de las aplicaciones que pueden descargarse del Play Store, y se han encontrado con que la mayoría de las afectadas son juegos. «No existe mucha información valiosa en las aplicaciones de juego», señalan los autores del informe, «pero los hackers pueden aprovechar la conexión de estas apps con las redes sociales del usuario para secuestrar sus perfiles en éstas».

Aunque Heartbleed solo afecta a las versiones 4.1.0 y 4.1.1. de Android, lo cierto es que este sistema operativo permite que las aplicaciones desarrolladas para él utilicen bibliotecas nativas de contenidos en las que pueden existir vulnerabilidades a este fallo de seguridad.

A partir de dichas vulnerabilidades, los hackers, señalan Zhang, Xue y Wei, que explican que también la han encontrado en varias aplicaciones de ofimática, «pueden secuestrar el tráfico de la red, redirigir la aplicación a un servidor maligno y robar contenidos y datos personales de la memoria de los dispositivos móviles».

Además, el informe señala que entre las 17 aplicaciones catalogadas en Google Play como «detectores de Heartbleed» solo 6 analizan en su búsqueda de vulnerabilidades el resto de apps que el usuario haya descargado en su dispositivo. De ellas, dos no detectaron como vulnerables las aplicaciones que Zhang, Xue y Wei ya habían clasificado como peligrosas. Los investigadores ponen a los usuarios en guardia ante estos supuestos detectores y señalan que muchos de ellos no funcionan más que como meras fuentes de adware.

Heartbleed fue descubierto a principios de abril por investigadores de Google y de la firma de seguridad Codenomicon, y levantó ampollas entre la comunidad de internautas, que descubrió entonces que el candado que aparecía, tranquilizador, junto a la barra de direcciones de su navegador ya no era garantía de seguridad.

Llamada así porque tiene que ver con un fallo que se produce durante la función Heartbeat del protocolo OpenSSL, se calcula que Heartbleed podría haber afectado a alrededor de dos tercios de todas las webs del planeta durante los dos últimos años.

Los hackers pueden aprovechar esta vulnerabilidad para acceder a datos personales de los usuarios como mensajes de correo electrónico, credenciales bancarias y contraseñas, así como para redirigirlos a webs maliciosas y a spam. Algunos medios han publicado que la seguridad estadounidense conocía la existencia de Heartbleed desde hace tiempo, pero no informó a la población porque la vulnerabilidad le resultaba útil para obtener datos de los ciudadanos.

Fuente: ABC.es