Heartbleed explicó por qué necesita cambiar sus contraseñas ahora
La última vez que le alertamos sobre una brecha de seguridad importante fue cuando la base de datos de contraseñas de Adobe se vio comprometida, poniendo en riesgo a millones de usuarios (especialmente aquellos con contraseñas débiles y frecuentemente reutilizadas). Hoy le estamos advirtiendo sobre un problema de seguridad mucho más grande, el Insecto Heartbleed, que potencialmente ha comprometido a una asombrosa cantidad de 2/3 de los sitios web seguros en Internet. Debe cambiar sus contraseñas y comenzar a hacerlo ahora.
Nota importante: How-To Geek no se ve afectado por este error.
¿Qué es Heartbleed y por qué es tan peligroso??
En su infracción de seguridad típica, los registros / contraseñas de usuario de una sola empresa están expuestos. Eso es horrible cuando sucede, pero es un asunto aislado. La Compañía X tiene una brecha de seguridad, emite una advertencia a sus usuarios y la gente como nosotros les recuerda a todos que es hora de comenzar a practicar una buena higiene de seguridad y actualizar sus contraseñas. Esas, desafortunadamente, las infracciones típicas son lo suficientemente malas como están. El insecto de Heartbleed es algo mucho, mucho, peor.
El error de Heartbleed socava el mismo esquema de encriptación que nos protege mientras enviamos correos electrónicos, realizamos transacciones bancarias y, por lo demás, interactuamos con sitios web que consideramos seguros. Aquí hay una descripción simple en inglés de la vulnerabilidad de Codenomicon, el grupo de seguridad que descubrió y alertó al público sobre el error:
El error Heartbleed es una grave vulnerabilidad en la popular biblioteca de software criptográfico OpenSSL. Esta debilidad permite el robo de la información protegida, en condiciones normales, por el cifrado SSL / TLS utilizado para proteger Internet. SSL / TLS proporciona seguridad de comunicación y privacidad a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).
El error Heartbleed permite que cualquier persona en Internet lea la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas utilizadas para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar las comunicaciones, robar datos directamente de los servicios y usuarios y suplantar servicios y usuarios.
Eso suena bastante mal, ¿sí? Suena aún peor cuando se da cuenta de que aproximadamente dos tercios de todos los sitios web que usan SSL están usando esta versión vulnerable de OpenSSL. No estamos hablando de sitios de tiempo reducido como los foros de hot rod o sitios de intercambio de juegos de cartas coleccionables, estamos hablando de bancos, compañías de tarjetas de crédito, grandes minoristas de correo electrónico y proveedores de correo electrónico. Peor aún, esta vulnerabilidad ha estado en la naturaleza por alrededor de dos años. Eso es dos años, alguien con el conocimiento y las habilidades adecuadas podría haber estado utilizando las credenciales de inicio de sesión y las comunicaciones privadas de un servicio que usa (y, según las pruebas realizadas por Codenomicon, hacerlo sin dejar rastro).
Para una ilustración aún mejor de cómo funciona el error Heartbleed. lee este cómic xkcd.
Aunque ningún grupo se ha presentado para hacer alarde de todas las credenciales y la información que extrajeron con el exploit, en este punto del juego, debe asumir que las credenciales de inicio de sesión de los sitios web que frecuenta se han visto comprometidas..
Qué hacer después de un error en Heartbleed
Cualquier infracción de seguridad mayoritaria (y esto ciertamente califica a gran escala) requiere que evalúe sus prácticas de administración de contraseñas. Dado el amplio alcance del fallo Heartbleed, esta es una oportunidad perfecta para revisar un sistema de administración de contraseñas que ya funciona sin problemas o, si ha estado arrastrando los pies, para configurar uno.
Antes de sumergirse en cambiar de inmediato sus contraseñas, tenga en cuenta que la vulnerabilidad solo está parcheada si la empresa ha actualizado a la nueva versión de OpenSSL. La historia se rompió el lunes, y si se apresurara a cambiar sus contraseñas en cada sitio de inmediato, la mayoría de ellos todavía estaría ejecutando la versión vulnerable de OpenSSL..
Ahora, a mitad de semana, la mayoría de los sitios han comenzado el proceso de actualización y para el fin de semana es razonable suponer que la mayoría de los sitios web de alto perfil habrán cambiado.
Puede usar el verificador de errores Heartbleed aquí para ver si la vulnerabilidad está aún abierta o, incluso si el sitio no responde a las solicitudes del verificador mencionado anteriormente, puede usar el verificador de fecha SSL de LastPass para ver si el servidor en cuestión ha actualizado su Certificado SSL recientemente (si lo actualizaron después del 4/7/2014 es un buen indicador de que han solucionado la vulnerabilidad). Nota: Si ejecuta howtogeek.com a través del corrector de errores, devolverá un error porque no utilizamos el cifrado SSL en primer lugar, y también hemos verificado que nuestros servidores no están ejecutando ningún software afectado..
Dicho esto, parece que este fin de semana se perfila como un buen fin de semana para ser serio en cuanto a la actualización de sus contraseñas. Primero, necesitas un sistema de gestión de contraseñas. Consulte nuestra guía para comenzar a usar LastPass para configurar una de las opciones de administración de contraseñas más seguras y flexibles. No tiene que usar LastPass, pero sí necesita algún tipo de sistema que le permita rastrear y administrar una contraseña única y segura para cada sitio web que visite.
Segundo, necesitas comenzar a cambiar tus contraseñas. La descripción de la gestión de crisis en nuestra guía, Cómo recuperarse después de que su contraseña de correo electrónico está comprometida, es una excelente manera de asegurarse de que no pierda ninguna contraseña; También destaca los conceptos básicos de la buena seguridad de las contraseñas, citados aquí:
- Las contraseñas siempre deben ser más largas que lo mínimo que el servicio permite. Si el servicio en cuestión permite que las contraseñas de 6 a 20 caracteres vayan por la contraseña más larga que pueda recordar.
- No use palabras del diccionario como parte de su contraseña. Tu contraseña debería Nunca ser tan simple que un escaneo superficial con un archivo de diccionario lo revelaría. Nunca incluya su nombre, parte del inicio de sesión o correo electrónico, u otros elementos fácilmente identificables como el nombre de su empresa o el nombre de la calle. También evite usar combinaciones de teclado comunes como "qwerty" o "asdf" como parte de su contraseña.
- Use frases de contraseña en lugar de contraseñas. Si no está utilizando un administrador de contraseñas para recordar contraseñas realmente aleatorias (sí, nos damos cuenta de que realmente estamos insistiendo en la idea de usar un administrador de contraseñas), entonces puede recordar contraseñas más seguras convirtiéndolas en frases de contraseña. Para su cuenta de Amazon, por ejemplo, puede crear la frase de contraseña fácil de recordar "Me encanta leer libros" y luego convertirla en una contraseña como "! Luv2ReadBkz". Es fácil de recordar y es bastante fuerte..
En tercer lugar, siempre que sea posible, desea habilitar la autenticación de dos factores. Puede leer más sobre la autenticación de dos factores aquí, pero en resumen, le permite agregar una capa adicional de identificación a su inicio de sesión.
Con Gmail, por ejemplo, la autenticación de dos factores requiere que usted no solo tenga su nombre de usuario y contraseña, sino también el acceso al teléfono registrado en su cuenta de Gmail para que pueda aceptar un código de mensaje de texto para ingresar cuando ingrese desde una computadora nueva..
Con la autenticación de dos factores habilitada, hace que sea muy difícil para una persona que haya obtenido acceso a su nombre de usuario y contraseña (como podría haberlo hecho con el error Heartbleed) para acceder realmente a su cuenta..
Las vulnerabilidades de seguridad, especialmente aquellas con tales implicaciones de gran alcance, nunca son divertidas, pero ofrecen una oportunidad para que ajustemos nuestras prácticas de contraseña y aseguremos que las contraseñas únicas y seguras mantengan el daño, cuando ocurra, contenido.