La última vez le avisamos de una importante infracción de seguridad Fue entonces cuando la base de datos de contraseñas de Adobe se vio comprometida, poniendo en riesgo a millones de usuarios (especialmente aquellos con contraseñas débiles y que se reutilizan con frecuencia). Hoy le advertimos sobre un problema de seguridad mucho mayor, el error Heartbleed, que potencialmente ha comprometido a la asombrosa cantidad de 2/3 de los sitios web seguros en Internet. Debe cambiar sus contraseñas y debe comenzar a hacerlo ahora.
Nota importante: How-To Geek no se ve afectado por este error.
¿Qué es Heartbleed y por qué es tan peligroso?
En su típica brecha de seguridad, se exponen los registros de usuario / contraseñas de una sola empresa. Eso es horrible cuando sucede, pero es un asunto aislado. La empresa X tiene una brecha de seguridad, emiten una advertencia a sus usuarios y las personas como nosotros les recuerdan a todos que es hora de comenzar a practicar una buena higiene de seguridad y actualizar sus contraseñas. Por desgracia, esas infracciones típicas ya son bastante malas. El error Heartbleed es algo mucho, mucho, peor.
Heartbleed Bug socava el mismo esquema de cifrado que nos protege mientras enviamos correos electrónicos, hacemos transacciones bancarias e interactuamos con sitios web que creemos que son seguros. Aquí hay un descripción en inglés sencillo de la vulnerabilidad de Codenomicon, el grupo de seguridad que descubrió y alertó al público sobre el error:
Heartbleed Bug es una vulnerabilidad grave en la popular biblioteca de software criptográfico OpenSSL. Esta debilidad permite robar la información protegida, en condiciones normales, por el cifrado SSL / TLS utilizado para asegurar Internet. SSL / TLS proporciona seguridad y privacidad en las comunicaciones a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).
El error Heartbleed permite que cualquier persona en Internet lea la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas utilizadas para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar las comunicaciones, robar datos directamente de los servicios y usuarios y hacerse pasar por servicios y usuarios.
Eso suena bastante mal, ¿no? Suena incluso peor cuando se da cuenta de que aproximadamente dos tercios de todos los sitios web que utilizan SSL utilizan esta versión vulnerable de OpenSSL. No estamos hablando de sitios de poca monta como foros de hot rod o sitios de intercambio de juegos de cartas coleccionables, estamos hablando de bancos, compañías de tarjetas de crédito, los principales minoristas y proveedores de correo electrónico. Peor aún, esta vulnerabilidad ha estado en estado salvaje durante aproximadamente dos años. Eso es dos años, alguien con los conocimientos y habilidades adecuados podría haber estado aprovechando las credenciales de inicio de sesión y las comunicaciones privadas de un servicio que utiliza (y, según las pruebas realizadas por Codenomicon, hacerlo sin dejar rastro).
Para una mejor ilustración de cómo funciona el error Heartbleed. Lee esto xkcd cómic.
Aunque ningún grupo se ha presentado para hacer alarde de todas las credenciales y la información que extrajeron con el exploit, en este punto del juego debes asumir que las credenciales de inicio de sesión de los sitios web que frecuentas se han visto comprometidas.
Qué hacer después del error Heartbleed
Cualquier violación de seguridad mayoritaria (y esto ciertamente califica a gran escala) requiere que evalúe sus prácticas de administración de contraseñas. Dado el amplio alcance de Heartbleed Bug, esta es una oportunidad perfecta para revisar un sistema de administración de contraseñas que ya funciona sin problemas o, si ha estado demorando los pies, para configurar uno.
Antes de sumergirse en el cambio inmediato de sus contraseñas, tenga en cuenta que la vulnerabilidad solo se repara si la empresa se ha actualizado a la nueva versión de OpenSSL. La historia salió a la luz el lunes, y si se apresurara a cambiar inmediatamente sus contraseñas en todos los sitios, la mayoría de ellos aún estarían ejecutando la versión vulnerable de OpenSSL.
RELACIONADO: Cómo ejecutar una auditoría de seguridad de último paso (y por qué no puede esperar)
Ahora, a mediados de semana, la mayoría de los sitios han comenzado el proceso de actualización y para el fin de semana es razonable suponer que la mayoría de los sitios web de alto perfil habrán cambiado.
Puedes usar el Comprobador de errores Heartbleed aquí para ver si la vulnerabilidad sigue abierta o, incluso si el sitio no responde a las solicitudes del verificador mencionado anteriormente, puede utilizar Comprobador de fechas SSL de LastPass para ver si el servidor en cuestión ha actualizado su certificado SSL recientemente (si lo actualizaron después del 7/4/2014, es un buen indicador de que han parcheado la vulnerabilidad). Nota: Si ejecuta howtogeek.com a través del comprobador de errores, devolverá un error porque no usamos cifrado SSL en primer lugar, y también hemos verificado que nuestros servidores no ejecutan ningún software afectado.
Dicho esto, parece que este fin de semana se perfila como un buen fin de semana para tomar en serio la actualización de sus contraseñas. Primero, necesita un sistema de administración de contraseñas. Revisa nuestra guía para comenzar con LastPass para configurar una de las opciones de administración de contraseñas más seguras y flexibles. No tiene que usar LastPass, pero necesita algún tipo de sistema que le permita rastrear y administrar una contraseña única y segura para cada sitio web que visite.
En segundo lugar, debe comenzar a cambiar sus contraseñas. El esquema de manejo de crisis en nuestra guía, Cómo recuperarse después de que la contraseña de su correo electrónico se vea comprometida , es una excelente manera de asegurarse de que no se pierda ninguna contraseña; también destaca los conceptos básicos de una buena higiene de contraseñas, que se citan aquí:
- Las contraseñas siempre deben ser más largas que el mínimo que permite el servicio . Si el servicio en cuestión permite contraseñas de 6 a 20 caracteres, elija la contraseña más larga que pueda recordar.
- No use palabras del diccionario como parte de su contraseña . Tu contraseña debe Nunca Ser tan simple que un escaneo superficial con un archivo de diccionario lo revelaría. Nunca incluya su nombre, parte del inicio de sesión o correo electrónico, u otros elementos fácilmente identificables como el nombre de su empresa o el nombre de la calle. También evite el uso de combinaciones de teclado comunes como "qwerty" o "asdf" como parte de su contraseña.
- Utilice frases de contraseña en lugar de contraseñas . Si no está utilizando un administrador de contraseñas para recordar contraseñas realmente aleatorias (sí, nos damos cuenta de que estamos insistiendo en la idea de usar un administrador de contraseñas), entonces puede recordar contraseñas más seguras convirtiéndolas en frases de contraseña. Para su cuenta de Amazon, por ejemplo, puede crear la frase de contraseña fácil de recordar "Me encanta leer libros" y luego convertirla en una contraseña como "! Luv2ReadBkz". Es fácil de recordar y bastante fuerte.
En tercer lugar, siempre que sea posible, desea habilitar la autenticación de dos factores. Usted puede leer más sobre la autenticación de dos factores aquí , pero en resumen, le permite agregar una capa adicional de identificación a su inicio de sesión.
RELACIONADO: ¿Qué es la autenticación de dos factores y por qué la necesito?
Con Gmail, por ejemplo, la autenticación de dos factores requiere que no solo tenga su nombre de usuario y contraseña, sino que tenga acceso al teléfono celular registrado en su cuenta de Gmail para que pueda aceptar un código de mensaje de texto para ingresar cuando ingrese desde una computadora nueva.
Con la autenticación de dos factores habilitada, es muy difícil que alguien que haya obtenido acceso a su nombre de usuario y contraseña (como podría hacerlo con el error Heartbleed) acceda realmente a su cuenta.
Las vulnerabilidades de seguridad, especialmente aquellas con implicaciones de tan gran alcance, nunca son divertidas, pero ofrecen una oportunidad para que endurezcamos nuestras prácticas de contraseñas y garanticemos que las contraseñas únicas y seguras mantengan contenido el daño, cuando ocurre.
