miércoles, 9 de abril de 2014

abril 09, 2014
CIUDAD DE MÉXICO, 9 de abril.- OpenSSL, una de las bibliotecas de criptografía más usadas en la World Wide Web, es decir, uno de los paquetes de herramientas de código abierto para formar sitios seguros, ha sido atacado por el llamado Heartbleed Bug, lo que significa un ataque de dimensiones masivas, incluso hablando de Internet, ya que éste se encuentra en dos de cada tres servidores del mundo.

De acuerdo con el sitio The Verge, es un virus de primer nivel porque es capaz de comprometer datos, comunicaciones entre usuarios, correos electrónicos, redes privadas e incluso apps de mensajería instantánea.


El nuevo fallo permitiría que los atacantes evadan las claves privadas en un servidor, permitiendo que observen el tráfico de datos y, potencialmente, se disfracen como el servidor.


Investigadores de Google y la empresa Codenomicon fueron los que descubrieron la amenaza y la nombraron así porque surge de la extensión heartbeat del Open SSL. Sin embargo, el error se remonta dos años, y aún no está claro por qué pasó tanto sin que nadie supiera sobre él.

Para resolverlo, hubo un parche de emergencia, pero hasta que se instaló, decenas de millones de servidores fueron expuestos.

El principal afectado fue Yahoo que vio comprometido todos sus servicios, así como otras compañías conocidas como Imgur, Flickr, y LastPass.

"Nuestro equipo ha realizado con éxito las correcciones pertinentes a través de las principales propiedades de Yahoo (Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr y Tumblr) y estamos trabajando para implementar la solución en el resto de nuestros sitios en este momento ", declaró oficialmente la empresa.

Apple, Google y Microsoft parece no estar afectadas, junto con los principales servicios de banca electrónica.

Para resolver todas las dudas se creó el sitio heartbleed.com, incluso en éste mencionan que los usuarios normales tenemos grandes posibilidades de haber sido afectados directa o indirectamente, sin embargo, nada podemos hacer ya que depende de los administradores de redes instalar una nueva versión de OpenSSL que elimina este error.

Open SSL también acompaña a todo tipo de aplicaciones y sistemas operativos como Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD y OpenSUSE. (El Universal)