¿Qué es el 'HeartBleed' y cómo protegernos?

Una amenaza se ha apoderado de internet y ha desatado la preocupación de los usuarios: la falla  ‘HeartBleed’. Se trata de un error que hace vulnerable nuestra información en la red y afecta a dos tercios de la World Wide Web. Nos dicen que cambiemos contraseñas pero ¿qué es exactamente 'HeartBleed'? ¿De qué nos protegemos?

Es difícil que una persona con conexión a internet no se haya percatado todavía de los avisos sobre el HeartBleed que está, literalmente, apoderándose de la red. Sin embargo muchos aún no saben exactamente qué es y hay incluso quien piensa que es una broma. Se equivocan. Se trata del mayor error en la historia del internet, según los expertos.

Todo comenzó cuando ingenieros de Google y de la empresa Codemicom descubrieron una vulnerabilidad en la implementación del OpenSSL, algo sumamente grave si consideramos que dos terceras partes de los portales web utilizan este código, entre ellos los propios servidores de Google, Amazon o Yahoo. La alarma se volvió viral pues esta falla en el sistema existe desde 2012.

El error se encuentra en una implementación llamada ‘HeartBeat’, ya que, como los latidos del corazón, mantienen vivas a las sesiones de comunicación entre dos partes después del saludo conocido como ‘HandShake’. Cada vez que dos dispositivos se comunican, pudiendo ser dos computadoras, una computadora con un modem o con una impresora y demás, se debe hacer un ‘handshake’ en donde se determinan los parámetros de seguridad. Si esto falla, nada es seguro, el ‘latido’ falla y el corazón puede ‘sangrar información’. De ahí el dramático nombre: ‘HeartBleed’.

En teoría, y sin ser un gran hacker, un atacante podría acceder a todos los datos privados alojados en estos servidores, entre los que se podrían encontrar contraseñas de servicios, credenciales de usuarios, código fuente de aplicaciones web y hasta las claves privadas de los certificados digitales de los servidores, con lo que la seguridad aportada por protocolos como HTTPS, SSH o servicios de VPN sería totalmente nulas. Para colmo, por el error en el código, un ataque de este tipo no deja rastros: nuestra información ha estado a merced de cualquiera durante dos años.

Hay buenas noticias: de los 5 millones de servidores que se encuentran conectados a Internet utilizando OpenSSL, sólo alrededor de 600,000 son vulnerables. Afortunadamente la mayoría de estos servidores han podido corregir el error y restablecer la seguridad de sus servicios.

• ¿Qué podemos hacer?

Los expertos coinciden en que los usuarios podemos hacer poco, ya que el problema afecta a los servidores y son ellos quienes tienen que enmendar entuertos. No obstante es importante tomar medidas y el diario El Mundo recopila las siguientes:

• Comprobar si los servicios web que usamos con contraseña (redes sociales, sitios web de bancos, de comercio electrónico, de viajes, de líneas aéreas...) ya han comunicado si la vulnerabilidad está corregida. Si no, debes evitar hacer login (entrar con usuario y contraseña) en ellas.
• Entra a este sitio web donde de manera gratuita, con introducir la dirección web, te indica si el sitio se ve afectado por el error. Evite hacer uso de estos sitios hasta que el error esté corregido. 
• Una vez que hayamos comprobado que el sitio web al que queremos entrar mediante contraseña no se ve afectado por el error, es importante cambiar las contraseñas. También se recomienda actualizar las aplicaciones de teléfonos y tabletas, y utilizar los servicios de verificación en dos pasos, como los que ofrece Google o Microsoft en sus servicios
• En estos días recibiremos correos  instándonos a cambiar o actualizar la contraseña: es la señal de que el sitio en cuestión ha eliminado el problema y es seguro. Es importante cerciorarse de que no se trata de correos falsos, dado que algunos criminales podrían aprovechar el pánico para robarte la contraseña.
• Debes estar muy pendiente de cualquier transacción bancaria o de tarjeta de crédito sospechosa, inusual o no identificada. En tal caso, es muy importante ponerse en contacto con el banco cuanto antes.