abril
Al igual que en la semana pasada, la saga de Heartbleed continúa liderando los principales portales de noticias de seguridad. Probablemente podría pasarme todo este artículo hablando de Heartbleed, pero no lo haré, porque estoy seguro de que también quieres saber acerca de la fuga de datos en LaCie, el popular productor de discos duros portátiles. También tenemos información sobre una extraña decisión de Microsoft que podría impactar sobre tu capacidad para instalar actualizaciones de seguridad y un interesante rumor sobre una iniciativa de Google que podría aumentar la optimización de búsqueda para las páginas web que tengan una buena estrategia de seguridad. Por último, repasaremos cómo afecto a Internet final del soporte técnico para XP.
Heartbleed
Como ya he dicho, la saga de Heartbleed continúa. En caso de que no le hayas prestado atención a ninguna noticia de seguridad informática en las últimas dos semanas, Heartbleed es un falla de encriptación que podría haber permitido que cualquier persona en Internet lea la memoria de una máquina protegida por el servicio de cifrado OpenSSL. En los casos más graves, este pequeño trozo de memoria podría contener datos vitales como nombres de usuarios, contraseñas o incluso llaves de cifrado privadas. No hay suficiente tiempo para volver a explicar esta situación por completo en este breve resumen de noticias, pero si estás un poco perdido, puedes leer este tutorial sobre Heartbleed y este análisis más extenso que explica por qué Heartbleed es un gran problema. Si ya estás bastante familiarizado con toda esta información, continúa leyendo.
A lo largo del fin de semana, Heartbleed se intensificó y pasó de ser una vulnerabilidad de seguridad potencial a ser un bug activamente aprovechado en ataques reales y con víctimas reales. Una página web para padres en el Reino Unido – llamado Mumsnet – fue atacada por hackers que se aprovecharon de Heartbleed. Estos atacantes se hicieron con las contraseñas y, según informes detallados, las usaron para publicar mensajes en esa página. Otro caso aun más alarmante ocurrió en Canada, en donde un grupo de cibercriminales aprovechón Heartbleed y logró comprometer algunos sistemas bajo el control de la Agencia de Ingresos de ese país (Canadian Revenue Agency). Durante un período de seis horas, antes de que la CRA pudiera actualizar su sistema con la versión parcheada de OpenSSL, los cibercriminales robaron los números de seguridad social de 900 ciudadanos.
Además, según una investigación realizada por Collin Mulliner de la Northeastern University de Boston la semana pasada, alrededor del 20% de los servidores de la red Tor resultaron ser vulnerables. Según detalla el informe, Tor ya ha empezado a bloquear estos nodos vulnerables.
A pesar de estos ataques, las pruebas que planteaban que era posible el robo de certificados e insistían sobre la necesidad de sustituir los certificados que estaban potencialmente en peligro, demostraron que no resulta urgente en absoluto revocar y reemplazar los certificados. En pocas palabras, estos certificados garantizan que una página web sea la página que tú crees que es. Estos certificados son la base de la confianza en Internet. Es cierto, ha habido una explosión de revocaciones y sustituciones de certificados desde el descubrimiento de Heartbleed, pero esta explosión no es ni remotamente proporcional al alcance del bug.
La fuga de LaCie
Según mi compañero (y co-anfitríon del podcast mensual de noticias) Chris Brook, la empresa francesa de hardware informático LaCie, conocida por sus coloridos discos duros portátiles, comunicó esta semana que fue víctima de una fuga de datos que puede haber puesto en peligro la información confidencial de cualquier persona que haya comprado un producto en la página web de LaCie durante el último año. La compañía dice que un cibercriminal comprometió sus sistemas online con una pieza de malware y luego utilizó ese acceso para robar nombres de clientes, direcciones, direcciones de correo electrónico, así como información de tarjetas de pago y las fechas de caducidad de las tarjetas. Por lo tanto, si has comprado algo directamente desde la tienda online de LaCie en el último año, tu información puede haber sido expuesta, aunque probablemente ya hayas sido informado por la empresa.
Una decisión extraña de Microsoft y otra potencialmente genial de Google
Con una decisión que me dejó confundido (aunque estoy seguro de que probablemente hay una buena razón para ella), Microsoft anunció recientemente que dejaría de proporcionar actualizaciones de seguridad para los usuarios que ejecutan versiones no actualizadas de Windows 8.1. En otras palabras, para recibir futuras actualizaciones de seguridad, los clientes tendrán que tener sus ordenadores actualizados con el update más reciente de Windows 8.1, que la compañía publicó en abril.
Hablé con un portavoz de Microsoft, pero esa persona no me dio muchas explicaciones sobre por qué se tomó esa decisión. La buena noticia – según este portavoz de Microsoft– es que este aviso sólo afecta a un pequeño porcentaje de los usuarios que no tienen la función de actualización automática habilitada. Para ser claros, sin duda recomendamos activar la auto-actualización, y creo que está activada de forma predeterminada para la mayoría de los sistemas Windows comerciales. Si tienes la actualización automática, entonces no tienes nada de qué preocuparte. Si instalas las actualizaciones de forma manual, entonces tendrás que instalar la actualización de Windows 8.1 de abril o no serás capaz de instalar los parches mensuales de aquí en adelante. Es tu elección, pero parece una decisión obvia para mí.
Por otro lado, hay rumores acerca de que el gigante de los buscadores, Google, podría añadir un poco de matemáticas a su mágico algoritmo de búsqueda (al menos creo que es así como funciona) que mejorará los resultados de búsqueda para las páginas web que implementen cifrado. El Wall Street Journal publicó esta noticia basada en algo que el gurú del algoritmo de búsqueda de la empresa, Matt Cutts, dijo en una conferencia. Google no negó rotundamente estas afirmaciones, pero sí aclaró que la compañía no tenía nada que anunciar en este momento. Es difícil saber si Google está de verdad reflexionando sobre esto, pero sin duda parece ser una buena idea.
¿Llegará el XPocalipsis?
Hablando de cosas que Microsoft ya no apoyará más, la empresa oficialmente publicó los últimos parches para Windows XP el mes pasado. Se había hablado mucho durante los últimos años acerca de cuál sería el impacto de abandonar el apoyo de seguridad para un sistema operativo que sigue siendo usado por el 28% de los usuarios de Internet. Es demasiado pronto para decir cuál será ese impacto, pero probablemente deberías dejar XP si aún lo estás usando. Pienso que estaríamos hablando mucho más sobre este tema si Heartbleed no hubiera aparecido, y apuesto que hablaremos más sobre ello en un futuro. Aquí hay una buena explicación sobre lo que el final de XP quizás signifique para el futuro.
Noticias sobre móviles
Por último, pero no menos importante, un nuevo informe de nuestros amigos investigadores de Kaspersky Lab demuestra que el negocio del robo de información bancaria de los usuarios de Android está en pleno crecimiento. Y, para terminar, otro hackeo compromete un sofisticado escáner de huellas digitales.
Traducido por: Guillermo Vidal Quinteiro
