Ayer Internet se encontró con una verdad siniestra: dos tercios de los servidores web de todo el mundo son vulnerables a un bug crítico en el cifrado de datos, que podría permitir a atacantes obtener datos vitales cifrados con conexiones SSL. El problema afecta a OpenSSL y por lo tanto a todos los programas que lo usan, como Apache. Ya decíamos que ahora la pelota está en el tejado de los administradores de sistema, que deberán actualizar los servidores con el parche de OpenSSL que ya está disponible, así que en realidad los usuarios no podemos hacer gran cosa… ¿o sí?

Qué podemos hacer

Los usuarios no podemos solucionar el bug porque no está en el lado del cliente (nuestro navegador web) sino del servidor (el ordenador al que nos conectamos); por lo tanto, solo podemos esperar a que la compañía actualice sus sistemas, algo que ya está pasando en las mas grandes. Una vez que se actualicen, tenemos que cambiar nuestras contraseñas; eso es porque si el atacante accedió al sistema usando el bug la eliminación de este no quita que haya podido obtener datos de usuarios, por ejemplo. Varias páginas web ya están mandando correos electrónicos a sus usuarios para que cambien la contraseña, así que si habéis recibido uno ya estáis tardando.

Cómo saber si un servidor es inseguro con Heartbleed

heartbleed-1

Pero, ¿cómo saber si la página a la que me estoy conectando se ha actualizado? En este caso si que existen herramientas que nos pueden ayudar. Para empezar tenemos la página Heartbleed Test, que es precisamente eso, una prueba en la que metemos la dirección del servidor y nos dirá al momento si es vulnerable o no. Los usuarios de Chrome por su parte tienen una extensión llamada Chromebleed que usa el mismo servicio pero de una manera mas sencilla; solo tenemos que dejarla instalada y nos avisará si la web a la que nos conectamos es insegura.

Con este dato, ya podemos decidir si seguir visitando esa web o no con conocimiento de causa; no es mucho, pero por lo menos no navegaremos a ciegas