sábado, 12 de abril de 2014

CLAVES



Hace casi tres años, en septiembre de 2011, publicábamos en este blog la entrada CONTRASEÑAS en la que se trataba el controvertido asunto de las combinaciones de caracteres que utilizamos, de forma cada vez más masiva, para acceder a los diferentes servicios electrónicos en los que es necesario identificarse. El hecho de llevar cada vez más personas un potente ordenador en sus bolsillos, los teléfonos inteligentes, hace que este asunto cobre más actualidad.

En estos primeros meses de 2014 se ha conocido un «bug» informático cuyo alcance es imposible de conocer y que ha podido afectar en los dos últimos años a todos los usuarios de internet en lo que respecta a haber quedado expuestas sus palabras clave de acceso a través de la red. Y el problema es que no se puede evaluar si esta puerta de atrás ha sido utilizada o no y en el terreno práctico nuestros usuarios y nuestros datos han quedado grabados en el disco duro de alguien malintencionado. Dos años es mucho tiempo para tener abierta la puerta de casa porque puede dar la coincidencia de que pase por delante el ladrón y entre a llevarse algo. Y como ocurre en esto de la virtualidad, lo peor de todo es que si se lo ha llevado nosotros no nos daremos cuenta y no lo echaremos en falta, pero lo que si podemos hacer es, por si acaso, tomar medidas tendentes a evitar un uso indebido de esos datos que hipotéticamente hayan podido robarnos. Las acciones a tomar son complejas por una sencilla razón: no estamos habituados a realizarlas y por ello nos asusta ni siquiera pensarlo.

Aunque la traducción de «bug» pudiera ser bicho o insecto, en el terreno informático se traduce como «hole» o «agujero» y hace referencia a un defecto en un programa que no ha sido descubierto por los creadores o diseñadores del mismo. No siempre es posible probar y detectar toda la gama de combinaciones y situaciones que pueden ser tratadas por un programa informático. De ahí que fallen, den errores, o lo que es peor, ofrezcan resultados erróneos o indebidos. Esto es también conocido por «la puerta de atrás» en el sentido de que son accesos ocultos que el propio programador deja en sus programas de forma que solo él o personas que lo conozcan, puedan acceder saltándose los controles. Esto se ha utilizado siempre y se seguirá utilizando y además es una forma lógica de poder mejorar la eficacia y la fiabilidad de los programas. El problema es que se emplee de forma malintencionada.

Tanto los «bugs» como los virus acaban siendo bautizados. El que nos ocupa se ha denominado como «heartbleed», es decir, «corazón sangrante» y es uno de los más peligrosos que ha sufrido la red en su historia por lo que hemos comentado anteriormente: no sabemos el alcance que haya podido tener y el uso que se haya hecho de él. El programa afectado controla los accesos seguros a las páginas web. Podemos encontrar más información, en inglés en este enlace. La descripción de su alcance se describe así

«Heartbleed» es una vulnerabilidad grave en la biblioteca popular de software criptográfico de OpenSSL. Esta debilidad permite robar la información protegida, en condiciones normales, por el cifrado de SSL/TLS utilizado para garantizar la seguridad en internet. SSL/TLS proporciona seguridad y privacidad en las comunicaciones en internet para aplicaciones tales como web, correo electrónico, mensajería instantánea y algunas redes privadas virtuales (VPN). 

El fallo «heartbleed» permite a cualquier persona en Internet leer la memoria de los sistemas protegidos por el software OpenSSL. Esto compromete las claves secretas utilizadas para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar comunicaciones, robar datos directamente de los servicios y los usuarios y hacerse pasar por usuarios y servicios suplantándolos.
Una de las empresas a las que accedo normalmente, por el momento solo una, me ha hecho llegar el siguiente correo informativo; perdón por la traducción del inglés en el que originalmente viene escrito dicho correo,

Estimado cliente: 

El 7 de abril, el proyecto OpenSSL emitió un aviso de seguridad que detalla una grave vulnerabilidad en el software de encriptación en uso por un gran porcentaje de internet. Esta vulnerabilidad (apodada Heartbleed) potencialmente podría permitir a los atacantes recuperar información desde los extremos SSL cifrados. Para obtener más información sobre esta vulnerabilidad, visite http:heartbleed.com. 

Aunque no creemos que los datos de alguno de nuestros clientes hayan sido comprometidos, hemos tomado medidas para garantizar nuestra infraestructura contra esta vulnerabilidad en nuestros servidores y actualizar nuestros certificados SSL. Como precaución extra recomendamos a nuestros clientes tomarse un momento para cambiar sus contraseñas. 

Continuaremos monitorizando esta situación para garantizar nuestro servicio contra esta vulnerabilidad. Si usted tiene alguna pregunta, por favor no dude en contactar con nosotros en cualquier momento en….
Supongo que empezaré a recibir informaciones o avisos parecidos de todas las empresas con las que interacciono, léase bancos, eléctricas, seguros, etc. etc. O al menos debería recibirlas. Independientemente de ello, aprovecho para recordar y recordarme a mí mismo que el tema de las claves o contraseñas no puede ser un asunto pendiente. El tener el usuario de correo como identificativo en varios sitios y a la vez la misma contraseña es un peligro. Pero otra cosa que debemos hacer de forma periódica es cambiar esas contraseñas. De acuerdo que es farragoso y no siempre fácil aunque la práctica es el mejor antídoto para vencer la procrastinación en este asunto. Bien es verdad que muchas veces cambiar contraseñas implica actualizar otros programas donde la tengamos incrustada, como por ejemplo nuestros programas de acceso al correo electrónico tipo «outlook» o similares o el acceso a la «wifi» en nuestro móvil y el de nuestros familiares. Pero es la única forma de mantener un cierto control sobre la situación además de ejercitarnos para que la tarea sea más llevadera.

Claro que, si nos han capturado los datos de nuestras tarjetas, deberíamos ir al banco, darlas de baja y sustituirlas por otras nuevas. Ya sé que es un latazo, pero yo, de vez en cuando y de forma premeditada, o las pierdo o se me «estropea» la banda magnética… Los plazos que establecen los bancos y las empresas para la caducidad de las tarjetas se me antojan demasiado largos a raíz de hechos como el comentado en esta entrada.