Cómo las empresas deben actuar ante Heartbleed

Ayer estuvimos hablando en MuySeguridad de Heartbleed, el mayor fallo de seguridad descubierto en años. Este nuevo agujero, hallado en el software de encriptado OpenSSL, permite a quienes atacan el programa obtener ilícitamente las contraseñas y otros contenidos de la memoria de los ordenadores. Lo preocupante es que no sólo usuarios, también empresas desconocen si su información se ha visto comprometida.

Y es que, los usuarios y empresas que utilizan el código han estado expuestos desde 2011. Si un tercero ha accedido en este tiempo a información confidencial, no ha dejado rastro. Realmente esto es lo que más preocupa de Heartbleed. Expertos en seguridad indican que los usuarios no pueden hacer nada para protegerse del agujero. Son los operadores web quienes deben solucionar el problema.

Google, Facebook y Yahoo ya han avisado, tal y como podemos leer en Reuters, que ellos han parcheado el agujero. “Los usuarios de Google no necesitan cambiar sus contraseñas”, ha declarado una portavoz de Google. Por su parte, Amazon ha asegurado que el agujero no ha afectado a sus servicios. Mientras se soluciona el problema, las empresas pueden actualizar su versión de OpenSSL o recopilar el software sin la extensión Heartbeat, donde se ha descubierto el agujero y que por ello ha sido bautizado así.

Expertos de Symantec también recomiendan reemplazar el certificado del servidor web tras adoptar una versión segura de OpenSSL. Además, la firma de seguridad anima a las empresas afectadas que cambien las contraseñas de usuarios que podrían haber quedado visibles gracias al agujero.