Tras la vulnerabilidad encontrada en el sowftware OpenSSL hace apenas dos meses, ahora parece que han descubierto otro agujero de seguridad que, dicen, puede ser más peligrosa que el anterior, conocido como Heartbleed.
La vulnerabilidad afecta a todos los ordenadores y el software móvil que usan versiones de OpenSSL anteriores a la versión más reciente.
El investigador que descubrió el anterior fallo de seguridad, Tatsuya Hayashi, dijo a The Guardian que el último fallo “puede ser más peligroso que Heartbleed”, ya que podría ser utilizado para espiar directamente las comunicaciones de las personas.
El fallo podría permitir a hackers interceptar y descifrar el tráfico enviado entre dispositivos y servidores. “En situaciones donde se utilice una red Wi-Fi pública, los atacantes pueden interceptar fácilmente los datos del usuario y hacer las falsificaciones en las comunicaciones cifradas”, señaló Hayashi. “Las víctimas no pueden detectar ningún rastro de los ataques.”
Una de las recomendaciones que hacen los expertos a los usuarios es no conectarse a través de redes poco seguras como redes WiFi abiertas y que cambien las contraseñas regularmente, evitando repetir la misma para diferentes servicios.
A las empresas les aconsejan actualizar el software con el objetivo de evitar ataques.
Los usuarios con dispositivos con versiones vulnerables deberán instalar los parches de seguridad que se detallan en el Boletín de OpenSSL y que incluye también correcciones para otros defectos.
Heartbleed se consideró una de las vulnerabilidades más graves en Internet. OpenSSL se supone que debe proteger con llaves digitales los datos de las personas.
La tarea para corregir el error encontrado ahora es probable que sea mayor que Heartbleed, advirtió el vicepresidente de servicios estratégicos de la empresa de seguridad Rapid7, Nick Percoco.
Muchos navegadores populares parecen estar a salvo de un ataque. El ingeniero de seguridad de Google, Adam Langley, ha señalado que “los clientes de Internet Explorer, Firefox, Chrome para PC e iOS, Safari, etc, no se ven afectados. No obstante, todos los usuarios de OpenSSL deben actualizar su software”.
Heartbleed estaba activo desde el 2011, pero el nuevo fallo de seguridad, que se encuentra en el protocolo OpensSSL, tiene 16 años. Lo curioso para muchos expertos es que no se haya encontrado antes.
Heartbleed