Aconsejan cambiar contraseñas por grave error que afecta a dos tercios de la web

Aconsejan cambiar contraseñas por grave error que afecta a dos tercios de la web
BBC Mundo Tecnología


Última actualización: Miércoles, 9 de abril de 2014

•  
  

El fallo fue llamado Heartbleed, "corazón sangrante".
Las empresas de internet toman medidas para poner parches a sus sistemas después de que se alertara de un grave error de software en el método de encriptación OpenSSL, que ha puesto en peligro la seguridad de dos tercios de las páginas web que existen en el mundo.
El fallo, llamado "Heartbleed", fue localizado por ingenieros de Google y de la empresa de ciberseguridad Codenomicon la semana pasada aunque se remonta a hace dos años. El lunes por la noche los responsables de OpenSSL dieron a conocer el problema y publicaron una actualización que lo soluciona. Desde entonces, varias de las mayores empresas de internet intentan resolver el error.


Temas relacionados

• Tecnología
  

La vulnerabilidad se remonta a la versión OpenSSL 1.0.1 lanzada el 14 de marzo de 2012 y afecta también a la versión 1.0.1f.
"Tu red social, la página web de tu empresa, la de comercio electrónico, la de tus aficiones, la página desde la que instalas un software o incluso páginas gubernamentales podrían haber estado vulnerables a OpenSSL", se indica en la página Heartbleed.com, creada a raíz de este hallazgo que potencialmente deja a merced de piratas informáticos dos tercios del ciberespacio.
A esa lista hay que añadir correos electrónicos, mensajería instantánea y redes privadas de comunicación (VPN).
Cambiar claves, pero no ya
Los expertos recomiendan esperar un día o dos y luego cambiar las contraseñas de los servicios web que usemos: mail, redes sociales, etc. Cambiarlas inmediatamente por una nueva contraseña antes de que los servicios hayan solucionado el fallo nos dejaría expuestos, advierten los analistas de seguridad.

"Si necesitas un anonimato fuerte o privacidad en internet, es posible que prefieras mantenerte alejado de internet en su totalidad en los próximos días, mientras que las cosas se asienten"

Proyecto Tor
Para los sitios web, el proceso de corrección del fallo implica la instalación de parches de software en los equipos de sus centros de datos y luego cambiar la clave del software confidencial utilizado para proteger los mensajes y transacciones.
No está claro cuánta ventaja han sacado hasta ahora los piratas informáticos del problema porque los ataques no dejan rastro.
"Si necesitas un anonimato fuerte o privacidad en internet, es posible que prefieras mantenerte alejado de internet en su totalidad en los próximos días, mientras que las cosas se asienten", dice el blog del Proyecto Tor, que produce software que ayuda a las personas evitar el escrutinio de sus hábitos de navegación.
La buena noticia es que Yahoo anunció este martes que le había puesto un parche a este fallo tras aparecer como una de las páginas que todavía estaban expuestas.
Google, Facebook, Youtube, Twitter, Blogspot, Amazon, Wordpress y Pinterest, que usan OpenSSL, también dijeron que arreglaron el fallo.
clic Síguenos en Twitter: @un_mundo_feliz


http://www.bbc.co.uk/mundo/ultimas_noticias/2014/04/140409_ultnot_fallo_heartbleed_contrasenas_rg.shtml

http://heartbleed.com/

No me lo creo. Están copiando las viejas al poner la nueva ven todo.

¿Qué puede hacer el usuario ante el grave agujero de seguridad que afecta a dos tercios de Internet?


REUTERS Boston
Actualizado: 10/04/2014 08:43 horas
6

Los expertos en seguridad advierten de que poco pueden hacer los usuarios de Internet para protegerse del gravísimo agujero de seguridad bautizado como 'The Heartbleed Bug' (el agujero del corazón desangrado) y que afecta a casi todo lo que viaja cifrado en Internet: Por lo menos hasta que las webs vulnerables a él no actualicen su software, verificar que los servicios que utilizas no son vulnerables o cambiar las contraseñas.
OpenSSL hizo público el lunes un comunicado que metafóricamente paró el corazón a muchos administradores de sistemas: avisaba de un grave fallo en las versiones 1.0.1 y 1.0.1f de OpenSSL, un paquete de herramientas y bibliotecas que utilizan dos terceras partes de los servidores de Internet, para cifrar sus comunicaciones y contenidos.
"El problema es grave", aseguró este lunes Kurt Baumgartner, investigador del fabricante de software de seguridad Kaspersky Lab. "Ahora es el momento de comprobar la vulnebaridad y de actualizar. Todo el mundo lo está haciendo", añadió.
El agujero está en el código de OpenSSL desde diciembre de 2011. Neel Mehta, del equipo de seguridad de Google, lo habría descubierto en diciembre de 2013, fecha de la inclusión del "bug" en la base de datos 'Common Vulnerabilities and Exposures'.
Accesos seguros a webs para comprar o hacer gestiones con la administración, contraseñas y números de tarjeta de crédito almacenados en grandes y pequeños negocios de la red, correo electrónico y mensajería en línea con conexiones securizadas, "cookies" que almacenen información confidencial, redes privadas virtuales, en definitiva todo lo que viaja cifrado.
OpenSSL se utiliza en los servidores que hospedan sitios web , pero no a los ordenadores o dispositivos móviles , por lo que a pesar de que el agujero expone contraseñas y otros datos incluidos en dichos dispositivos , se debe proceder a la salvaguarda de los operadores de sitios web.
"No hay nada que los usuarios puedan hacer paraproteger sus computadoras ", dijo Mikko Hypponen , jefe de investigación del fabricante de software de seguridad F -Secure .
Mientras, representantes de Facebook, Google y Yahoo confirmaron a Reuters que han tomado medidas para mitigar el impacto en los usuarios.
La portavoz de Google, Dorothy Chou, aseguró que la compañía "h corregido este error y por los usuarios de Google no es necesario que cambien sus contraseñas". Google Chrome y Chrome OS no han sido afectados, por lo que los servicios del buscador, Gmail, Youtube, Wallet y Google Play no tienen ningún riesgo de seguridad. Por su parte, Ty Rogers, portavoz de Amazon, dijo que "Amazon no se vió afectada".
Mientras tanto, Steve Marqués , presidente de la Fundación OpenSSL, dijo que no podía identificar otros programas informáticos que utilizan el código OpenSSLque podrían hacer que los vulnerables a otros dispositivos.
Bruce Schneier , un conocido criptógrafo y director de tecnología de CO3 Systems , pidió a las empresas de Internet que emitieran nuevos certificados y claves para cifrar el tráfico de Internet , lo que haría que las contraseñas robadas fueran inútiles Algo que llevaría mucho tiempo y que las empresas no están por asumir.
Marcos Maxey , director de la firma de ciberseguridad Accuvant, explicó que no es una tarea fácil para las grandes organizaciones poner en práctica las múltiples medidas existentes para limpiar el error, lo que significa que se necesita algo más que mucho tiempo para hacerlo.
Hypponen, de F -Secure, aseguró que los usuarios de computadoras podrían cambiar inmediatamente las contraseñas de sus cuentas, pero tendrían que volver a hacerlo si sus operadores les informan de que son vulnerables. "Cuida las contraseñas que son más importantes, y si está preocupado por sus tarjetas de crédito, revise sus cuentas más de cerca".

http://www.elmundo.es/tecnologia/2014/04/10/534639d0ca4741f54c8b456b.html

Heartbleed test

http://filippo.io/Heartbleed/#

¿Qué contraseñas debo cambiar ante el fallo de internet?
Comentarios Comentarios  
BBC Mundo Tecnología


Última actualización: Jueves, 10 de abril de 2014

•  
  

El error afecta a dos tercios de la web.
El inédito error informático llamado Heartbleed les está causando grandes dolores de cabeza a los expertos en seguridad.
Mientras tanto, los sitios web intentan solucionar el problema y los usuarios, asustados, se preguntan si deben cambiar o no sus contraseñas para evitar el robo de sus cuentas de correo electrónico, números de tarjetas de crédito y otra información confidencial.

Contenido relacionado

• Aconsejan cambiar contraseñas por grave error que afecta a dos tercios de la web
  
• Qué hacer si todavía usas Windows XP
  

Temas relacionados

• Tecnología
  

A continuación respondemos las dudas más comunes.
¿Qué es Heartbleed ?
Es un fallo que afecta a los códigos OpenSSL, muy usados para la encriptación de datos en internet. Data de 2012 y recién ahora fue descubierto.
Esto ha permitido que un tercio de los sitios web mundiales quedaran vulnerables al robo por parte de hackers, lo que los expertos dicen es una de las brechas de seguridad más graves de los últimos años.
Esto significa que el icono de un candado pequeño (HTTPS) que vemos a la izquierda de la barra del navegador y en el que confiamos para mantener nuestras contraseñas de correos electrónicos personales y tarjetas de crédito seguras, en realidad está “abierto”.
Esto pone al alcance de cualquier hacker el acceso a unidades de información privada y protegida alojadas en servidores que usaran la codificación OpenSSL.
El fallo fue localizado por ingenieros de Google y de la empresa de seguridad informática Codenomicon la semana pasada. El lunes por la noche los responsables de OpenSSL dieron a conocer el problema y publicaron una actualización que lo soluciona.
¿Qué tan grave es? ¿Debo entrar en pánico?
Es grave, dado que afecta a dos tercios de la red. Los errores en el software van y vienen y son reparados por nuevas versiones. Sin embargo, este error ha dejado gran cantidad de claves privadas y otros secretos expuestos. El experto en seguridad Brue Schneier lo describió como "catastrófico". "En la escala de uno a 10, es un 11".

Con el fallo, el candado HTTPS que protege los sitios quedó “abierto”.
Pero no hay que entrar en pánico. Hay que estar atento.
Los investigadores de seguridad que descubrieron la amenaza están particularmente preocupados por el hecho de que no fue detectado durante más de dos años. Por eso temen la posibilidad de que los piratas informáticos pueden haber estado explotando en secreto el problema antes de su descubrimiento.
También es posible que nadie se haya aprovechado de la falla antes del anuncio de su existencia la noche del lunes.
Como explica a la BBC David Stupples, profesor de la City University de Londres, aun no se ha oído de ningún daño serio desde que se supo del fallo.
¿Cómo sé si fui atacado?

"Nos atacamos a nosotros mismos desde fuera, sin dejar rastro. Sin el uso de información privilegiada o credenciales pudimos robarnos a nosotros mismos las claves secretas "

Heartbleed
Ese es el problema. Los posibles ataques no dejan rastros. La página Heartbleed.com, creada para explicar el incidente informático, probó la falla en sus propios servicios “desde la perspectiva del atacante”.
“Nos atacamos a nosotros mismos desde fuera, sin dejar rastro. Sin el uso de información privilegiada o credenciales pudimos robarnos a nosotros mismos las claves secretas utilizadas por nuestros certificados X.509, nombres de usuario y contraseñas, mensajes instantáneos, correos electrónicos y documentos críticos de negocio y comunicación”, explica el sitio.
Seguramente estés afectado, “de forma directa o indirecta, dice el sitio. El OpenSSL es el código abierto más utilizado. Tu popular red social, el sitio de tu empresa, de comercio electrónicoo incluso los sitios administrados por el gobierno podría estar usando OpenSSL vulnerable.
¿Debo cambiar mis contraseñas?
Sí, pero primero hay que ver si el sitio en cuestión –mail, red social o banco, por ejemplo- ya reparó el error. Cambiarlas antes de que los servicios hayan solucionado el fallo nos dejaría más expuestos, advierten los analistas de seguridad.
Para los sitios web, el proceso de corrección del fallo implica la instalación de parches de software en los equipos de sus centros de datos y luego cambiar la clave del software confidencial utilizado para proteger los mensajes y transacciones.
clic Lee también nuestra guía para cambiar las contraseñas
¿Qué sitios están en peligro?
Google les está diciendo a sus usuarios que no tienen que cambiar las contraseñas que utilizan para acceder a Gmail (que tiene 425 millones de cuentas), YouTube y sus otros productos.
Una fuente de la empresa le dijo a la BBC que corrigieron la vulnerabilidad antes de que se hiciera pública.

Google dice que no es necesario cambiar sus contraseñas.
Facebook, que tiene más de 1.200 millones de titulares de cuentas, también dijo haber purgado la amenaza, pero igual recomendó a los usuarios “aprovechar esta oportunidad para seguir las buenas prácticas y establecer una contraseña única para su cuenta de Facebook que no utilicen en otros sitios''.
La red social Twitter y el gigante del comercio electrónico Amazon dicen que sus páginas web no se expusieron a Heartbleed. Ebay, que administra el servicio de pagos PayPal, dijo que la mayoría de sus servicios evitaron el error.
Algunos señalan que hay muchos sitios más pequeños que aún no se han ocupado de la cuestión y en esos casos cambiar de contraseña podría hacer más daño que bien, dejando al descubierto viejas y nuevas contraseñas a cualquier posible atacante.
En esta página uno puede ver si la página a la que quiere entrar ya resolvió el problema: [url=http://filippo.io/Heartbleed .]clic http://filippo.io/Heartbleed[/url]
Fue creada por el experto en seguridad Filippo Valsorda, quien le dijo a BBC Mundo que recibe unas 17.000 visitas por minuto. La página es en inglés, pero su diseño es simple y fácil de entender.
clic Síguenos en Twitter: @un_mundo_feliz

http://www.bbc.co.uk/mundo/noticias/2014/04/140410_heartbleed_fallo_claves_qa_rg.shtml

Los yankees usan internet para espiar a todo dios.

Y crees que eso tiene que ver con esto? si asi lo crees , es porque o no lees o no comprendes lo que lees