Qué es el fallo Heartbleed
Heartbleed es un comportamiento imprevisto debido a un error en el código. Concretamente en una zona o librería llamada OpenSSL presente en algunos servidores web que es la que se encarga de las comunicaciones confidenciales y seguras. Aunque no todos los servidores de Internet utilizan OpenSSL, son cientos de miles de servidores los afectados, entre ellos muchos de los más populares.
Aprovechando el fallo alguien puede hacer una especie de 'llamada desde el exterior al servidor' como si solicitara algo parecido a una página y extraer 64 KB de contenidos de la memoria de esa máquina en la que está funcionando OpenSSL.
El fallo afecta a la información sobre la navegación web; a todo lo que está almacenado en la memoria del servidor que usa OpenSSL: correos, mensajería, datos sobre cuentas, etc.; a los certificados de seguridad y las llamadas 'claves maestras' que permitirían a quien las poseyera acceder (o quizá suplantar) al servidor más fácilmente. Extraído de un artículo de Álvaro Ibáñez, 'Alvy'
Heartbleed, la vulnerabilidad que afecta a cientos de miles de servidores de Internet, podría hacer que unas 1.300 aplicaciones de Android estuvieran indefensas, según un análisis que ha hecho la empresa software de seguridad Trend Micro entre más de 390.000 aplicaciones de Google Play.
Y es que las aplicaciones móviles -desde el navegador hasta las apps de banca o compra online-, como las páginas web, también alojan la información en un servidor. La empresa ha anunciado que ya ha informado a Google de esta incidencia.
Trend Micro incide en que, ante la posibilidad de comprar desde una aplicación móvil, a la hora de introducir los datos de la tarjeta de crédito y finalizarse la transacción, los datos bancarios se almacenan en un servidor y pueden permanecer allí por un periodo de tiempo indeterminado.
"Basta que los ciberdelincuentes aprovechen el error Heartbleed y se dirijan a ese servidor para extraer la información que almacena, entre la que se encuentra su número de tarjeta de crédito", explican.
En cuanto a las apps que no ofrecen comprar, según la compañía de software de seguridad, tampoco están seguras, ya que si se conectan online a un servidor siguen siendo vulnerables, por ejemplo, al clicar "me gusta" en una red social o “seguir” a una persona para conseguir premios.
Lo más probable, señalan, es que la aplicación abra el sitio web por su cuenta en una ventana de navegador y el usuario tenga que iniciar la sesión en la red social desde allí. Aunque las redes sociales a las que accede el usuario no tienen por qué ser vulnerables al fallo Heartbleed, podrían serlo y existir riesgos.
Entre las 1.300 aplicaciones analizadas por Trend Micro hay 15 relacionadas con bancos, 39 con servicios de pago online y 10 están relacionadas con tiendas online.
Asimismo, la compañía ha encontrado varias apps populares que muchos usuarios utilizan a diario, como aplicaciones de mensajería instantánea, de salud y apps de configuración de teclado. Estas aplicaciones utilizan minería de datos de información sensible tanto personal como financiera, y podría estar expuesta a acciones de cibercriminales.
Al intentar medir el impacto de la vulnerabilidad Heartbleed, la empresa ha escaneado los principales nombres de dominios (TLD, por Top Level Domain ) de ciertos países extraídos de entre más de un millón de dominios por Alexa.
Tras separar los sitios que utilizan SSL, los investigadores los han clasificado como 'vulnerables' o 'seguros'. Alrededor de un 5% de los dominios están afectados por el fallo, con .kr y .jp a la cabeza, seguidos por .ru, .cn y .gov, según ha explicado el investigador de amenazas de Trend Micro, Maxim Goncharov.
El analista de amenazas móviles de Trend Micro, Veo Zhang, apunta que no se puede hacer gran cosa para proteger el móvil de Heartbleed.
“Le diríamos que cambiara su contraseña, pero eso no ayudará a los desarrolladores de aplicaciones ni tampoco a los proveedores de servicios web. No solucionaría totalmente el problema. Esto supone la actualización de la versión parcheada de OpenSSL, o al menos una de las versiones no vulnerables", ha apuntado.
Aunque Trend Micro aconseja dejar de realizar compras desde la aplicación o cualquier transacción financiera durante un tiempo, al menos hasta que el desarrollador de la aplicación emita un parche que elimine la vulnerabilidad, también se puede preguntar a la entidad bancaria si está presente en su servidor la librería OpenSSL.
En este sentido, la empresa ha anunciado que continuará analizando y escaneando el listado de los principales dominios seleccionados durante unos días con el fin de detectar posibles alteraciones y aconsejan a los administradores de sitios web actualizar OpenSSL para proteger a sus usuarios.
