¿Debería cambiar sus contraseñas debido a Heartbleed? -InnerSelf.com

: By Andrew Smith, La conversación

¿Deberías cambiar tus contraseñas debido a Heartbleed?

Si está luchando por comprender la avalancha de información sobre el Vulnerabilidad Heartbleed, no estas solo. Algunos informes nos dicen que cambiemos todas nuestras contraseñas en línea de inmediato, otros nos advierten que esto podría hacer más daño que bien. Hay mucha desinformación por ahí.

Es esencial que no cunda el pánico pero tampoco debe ser complaciente. Todos necesitamos una buena combinación anticuada de sentido común y prudencia.

¿Qué es Heartbleed?

En muchos de los servidores y servicios web de Internet que utilizamos, existe una tecnología de seguridad de código abierto llamada OpenSSL. En términos simples, cuando ves el candado al lado de la página web URL, usted tiene una conexión web segura y encriptada que puede haber sido administrada por el OpenSSL software.

Hasta la fecha, OpenSSL ha funcionado increíblemente bien. Los ingenieros de redes y usuarios como usted han quedado más que satisfechos con el servicio que brinda. Pero Google Security y Codenomicón descubrió recientemente un defecto en el sistema ahora doblado heartbleed y lo anunció al mundo en 7 April 2014. El error puede haber pasado inadvertido durante los últimos dos años.

En términos simples, heartbleed es una vulnerabilidad de memoria del servidor. Eso significa que la base de datos completa de todos los clientes de su minorista en línea favorito no es vulnerable, pero que cualquiera de las transacciones que se realizan en el momento en que un cibercriminal ataca un sitio podría serlo. Es por eso que algunos expertos le han aconsejado que se abstenga de realizar transacciones importantes en línea mientras se resuelve la situación.

heartbleed es una gran preocupación para las empresas, muchas de las cuales albergan miles de transacciones cada hora. Un cibercriminal ardiente podría escribir fácilmente una herramienta de interrogación que explota el heartbleed error cada pocos segundos, lo que permite adquirir grandes volúmenes de datos de clientes. Dependerá completamente de lo que se intercambie en ese momento sobre qué información se extraerá.

Es como hacer que alguien lea tu mente mientras lees este artículo. No verán el artículo completo, pero por el breve momento en que miran dentro de su cabeza, verán las mismas palabras que acaban de leer.

La memoria del servidor es tan actual como la transacción o tarea actual que está completando. Por lo tanto, es poco probable que cualquier transacción anterior de minutos, horas o días se almacene en la memoria.

¿Qué es lo que hay que hacer?

Para empezar, no entres en pánico. Algunos le aconsejan que debe cambiar todas sus contraseñas, pero a menos que sepa que el sitio web al que está accediendo utiliza OpenSSL, podría crear más problemas cambiando la configuración.

Esto se debe en parte a que puede cambiar la contraseña en un servidor que no ha sido parcheado y por lo tanto, todavía tiene un problema mientras permanece vulnerable. Si un sitio web sigue siendo vulnerable, su nueva contraseña seguirá siendo vulnerable también.

Consulte con los sitios web que usa. La mayoría de los sitios anuncian si han realizado algún cambio o si han reconocido un problema. IFTTT, el popular servicio de mezcla de redes sociales, ya ha enviado por correo electrónico toda su base de usuarios, informándoles que los servicios que ofrecen han sido asegurados.

Si está técnicamente inclinado y le gustaría verlo usted mismo, puede usar muchos diferentes heartbleed revisando sitios que verifique si el servicio que usa es vulnerable. Hay sitios que ahora están enlistados sitios web vulnerables. Esta es una buena noticia en algunos aspectos, pero también significa que los sitios vulnerables también han sido anunciados a posibles ciberdelincuentes. Si su sitio está en estas listas, lea los consejos con cuidado, ya que algunos dicen que no creen que tengan ningún problema.

Si aún no está seguro, cambie la contraseña, pero use una que recuerde para que no necesite un aviso del sitio. También debe ser una contraseña que esté dispuesto a cambiar dentro de unos días. Pero recuerde, se sorprenderá de la cantidad de sitios que usa, las cuentas que tiene y las contraseñas que puede haber olvidado. Si olvidó la contraseña, aléjese por el momento.

¿Qué están haciendo los profesionales?

Muchos servicios ya están arreglados. Los profesionales de redes no son complacientes y están muy enfocados en la seguridad. Cuestiones como estos son raros, pero sí constituyen grandes noticias. Muchos pueden haber eliminado el problema antes de que se convirtiera en noticia.

Algunos servicios web anunciarán si tienen parches y son seguros, pero no es necesario que se preocupe si su sitio web favorito no emite un anuncio. Lo más probable es que nunca haya usado OpenSSL en primer lugar.

Habrá otros problemas?

Es inevitable que haya algunos sitios que no serán parcheados ya que estos no son servicios comerciales primarios que están siendo "atendidos". Siempre existe la posibilidad de que se encuentren otros problemas con OpenSSL u otros servicios seguros. SQL Injection, por ejemplo, era un problema que se hizo ampliamente conocido en la comunidad de redes en 2012, pero de vez en cuando encontramos servidores que aún permiten este exploit.

Con todo, su mejor línea de conducta es averiguar qué sitios web en su vida digital se ejecutan en OpenSSL. Los sitios más grandes se comunicarán con usted, siempre y cuando lo necesiten.

Este artículo apareció por primera vez en La conversación

Del webmaster de InnerSelf: InnerSelf opera en un sistema que usa OpenSSL pero solucionamos la vulnerabilidad tan pronto como nos enteramos heartbleed. Solo conservamos su nombre (el primer nombre es suficiente) y el correo electrónico para el Boletín informativo y Daily Inspiration. Ningún humano lo mira y nunca se comparte con nadie más. Como no procesamos las tarjetas de crédito en línea, ninguna de su información está disponible. Ofrecemos SSL para que pueda leer InnerSelf en condiciones imposibles de rastrear si lo desea (https://innerself.com/content/).

Sobre el autor

Andrew Smith es profesor de redes en La universidad abierta. autor y examinador principal con formación en redes 'de infraestructura', así como algunos programas que están un poco anticuados y seguridad de red (ciberseguridad). Su enfoque académico principal está en las tecnologías de Cisco como parte del programa Cisco Academy.

Libro recomendado

Proteger su identidad en Internet: ¿está desnudo en línea?
por Ted Claypoole y Theresa M. Payton.

1442212209 Proteger su identidad en Internet: ¿está desnudo en línea? ayuda a los lectores, jóvenes y viejos por igual, a comprender las implicaciones de sus personas y reputaciones en línea. Los autores ofrecen una guía de los muchos riesgos y riesgos de ciertas actividades en línea y proporcionan una hoja de ruta para hacerse cargo de su propia reputación en línea para el éxito personal y profesional.

Haga clic aquí para obtener más información y / o para solicitar este libro en Amazon.

romper

Gracias por su visita InnerSelf.com, dónde están 20,000+ Artículos que cambian la vida y promueven "Nuevas actitudes y nuevas posibilidades". Todos los artículos están traducidos al 30+ idiomas. Suscríbete a la revista InnerSelf, que se publica semanalmente, y a Daily Inspiration de Marie T Russell. InnerSelf Revista se publica desde 1985.