Una falla amenazó la seguridad de datos encriptados en Internet
El error, llamado "Heartbleed" ("corazón que sangra") afectó un programa que usan la mitad de los sitios destinado a proteger claves y otros datos, como los bancarios.
El error afecta algunas versiones de OpenSSL, un programa de uso libre muy común en conexiones seguras en internet, que se identifica por ejemplo con una dirección que empieza con https o un candado durante operaciones bancarias o de identificación on line.
Este tipo de conexiones sirve a menudo para la mensajería instantánea, el intercambio de correo electrónico o redes privadas VPN.
Puede permitir a piratas informáticos recuperar en la memoria de los servidores datos ingresados durante conexiones seguras, según expertos de la firma especializada Fox-IT. Ésta considera que la falla existe desde que salió una versión de OpenSSL hace dos años aproximadamente.
"Es probable que todos aquellos que administren un servidor en internet https estén trabajando arduamente hoy", advierte el Tor Project, otro grupo que defiende el anonimato en internet, en un mensaje publicado en su sitio.
Sugieren además a quienes buscan un "verdadero anonimato o una protección de su vida privada on line (...) mantenerse completamente alejados de internet en los próximos días, mientras las cosas se solucionan".
"Son los datos más preciados, las claves mismas de encriptado", subraya heartbleed.com, un sitio en internet lanzado para describir las características de la falla: "permiten a los piratas desencriptar todas las conexiones pasadas y futuras con servicios protegidos".
Los piratas pueden realizar ataques en serie en el mismo servidor para aumentar sus posibilidades de conseguir datos valiosos. "La cantidad de ataques que pueden llevar a cabo no tiene límites", advierte Fox-IT en un mensaje que detalla las medidas a tomar para evitar las intrusiones.
Especialistas en ciberseguridad dicen que usaron la falla para recuperar contraseñas para los servicios del grupo en internet estadounidense Yahoo!, que el martes afirmó en un comunicado haber resuelto el problema.
Todavía no se sabe si Heartbleed fue efectivamente usado por piratas, pero los administradores de sitios que usaron versiones riesgosas de OpenSSL deben actualizarlas con otras más recientes y más seguras e instalar actualizaciones que fueron lanzadas de emergencia.
Además, deberán cambiar las identificaciones de seguridad que permiten a los usuarios en internet confirmar su autenticidad. Si los piratas accedieron a ellas, podrían crear copias fraudulentas de sus sitios con la meta de engañar a los usuarios para recuperar más datos.