Un bug crítico en OpenSSL vulnera los datos de dos tercios de los servidores de Internet

Ricardo Cambre
77 191 24
Noticias » Internet
Investigadores de seguridad han descubierto un bug crítico en el popular paquete de seguridad OpenSSL que afecta potencialmente a dos tercios de los servidores de todo Internet. El defecto bautizado como Heartbleed Bug hace posible extraer datos de cualquier servidor que haga uso de una versión del software OpenSSL que haya sido lanzada durante los últimos dos años.

La explotación del bug permite obtener claves privadas de cifrado, abriendo el acceso a la totalidad del contenido de cada servidor sin interferencia de las medidas de seguridad. Dado el acceso a las credenciales privilegiadas los ataques que utilizan esta vía de entrada no dejan rastros en los equipos, por lo que no es posible conocer cuándo se ha aprovechado el fallo de forma activa.

El bug ha sido descubierto por miembros del equipo de Google y de la firma de seguridad Codenomicon que colaboran con el proyecto OpenSSL. Los responsables de la librería han publicado hace unas horas un parche de emergencia junto a una advertencia de seguridad recomendando la actualización inmediata de las versiones que van de la 1.0.1 a la 1.0.1f.

Pese a la rauda actuación del proyecto OpenSSL el informe de seguridad señala que, incluso con el parche, los servidores que utilicen estas librerías podrían seguir siendo vulnerables debido a la extracción de claves de usuario o certificados digitales. Del mismo modo se destaca que el largo recorrido del bug junto a la imposibilidad de detectar intrusiones no permite conocer el verdadero alcance de la vulnerabilidad.

OpenSSL es con mucha diferencia el paquete de seguridad de código abierto más popular de la Red y se utiliza como el motor de codificación por defecto para los servidores Apache y nginx, los cuales conforman el 66% de Internet según cifras de Netcraft. El software también acompaña a todo tipo de aplicaciones y sistemas operativos entre los que se incluyen las distribuciones Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD y OpenSUSE.
24 comentarios
  1. Que casualidad :-|

    Tan casualidad como el backdoor de RSA...
  2. Al final lo más seguro será no tener internet.
  3. =kuril= escribió:Al final lo más seguro será no tener internet.

    No lo dudes. A mi abuela no la hackean.
  4. xD.... güejero sin dueño, güejero estatal.
  5. Ricardo Cambre escribió: y sistemas operativos Linux entre los que se incluyen las distribuciones Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD y OpenSUSE.


    OpenBSD y FreeBSD han cambiado su kernel y sys a GNU/Linux y ahora son distribuciones Linux? Primera noticia que tengo.

    [/sarcasm]

    OpenBSD y FreeBSD, tal como su nombre indica son unix BSD, no Linux.

    Ninja edit:

    http://es.wikipedia.org/wiki/Linux
    http://es.wikipedia.org/wiki/Berkeley_S ... stribution
  6. Entonces, ¿lo que quiere decir que la mayor parte de los ataques serían de tipo MITM (man in the middle) debido a que la noticia se centra en los servidores web a través del protocolo https? ¿O existe otro riesgo aún mayor?
  7. No hay sistema infalible. Ni creo que vaya a haberlo jamás mientras sigan existiendo humanos en algún lugar de la cadena. Esperemos que este bug no tenga graves consecuencias para millones de usuarios.

    El día que quieran acabar con Internet, se hará por esta vía.
  8. Madre mía...

    No acabarán con internet... acabarán con nuestra privacidad y con el tiempo dejará de preocuparnos a fuerza de costumbre. Triste, si, pero real como la vida misma.

    }:/
  9. Ese bug es peligroso...
  10. Ya te digo que internet aunque quitaran la NSA seguriamos sin tener privacidad. No me extrañaria que sea el Bug que usa la NSA para espiarnos xD. Cosa que dudo. El tema de la seguridad y privacidad, mientras uno no ponga cosas privadas no podran sacarte nada. A mi me podran sacar todas las fotos de mi Face y lista de juegos de Steam y poco mas como donde he estudiado y trabajado pero nada mas. Si me hakean la cuenta de algo pues nada mala suerte pero no me sacaran ni un dato privado o personal. (Tengo secretos muy oscuros, MUHAHAHAAAA) Y por este comentario mañana tendre la NSA en mi puerta xDDDDD.

    Si descubren un bug lo mas logico es taparlo y no decir nada, porque si yo fuera un haker y veo la noticia lo primero que aria seria ir a atacar alguna web que me tiene tirria y publicar lista de mails y paswords por internet o intentar sacarle la pasta a alguien. No os parece? a no ser que publiquen la noticia meses despues de arreglar el fallo.
Ver más comentarios »