Heartbleed es el nombre que recibe una vulnerabilidad descubierta en la librería OpenSSL. Se trata de un problema sumamente serio debido al extenso uso de OpenSSL en millones de servidores, los cuales pueden ser vulnerados fácilmente. Si estamos hablando de un inconveniente para una cantidad tan grande de servers, entonces también lo es para Internet en general.
El bug Heartbleed permite que un tercero realice el robo de información protegida incluso bajo SSL. ¿Qué quieres decir esto? Que si estamos utilizando una versión vulnerable de OpenSSL nos arriesgamos a que alguien espíe en nuestros datos y/o los robe. Tanto los accesos mediante keys (llaves) como otros que requieren usuario y contraseña se pueden ver totalmente comprometidos.
¿Cómo impedir que alguien abuse de este bug?
Afortunadamente la solución es sencilla. Hay que realizar una actualización de los paquetes del sistema a la versión más reciente. Una vez que el sistema está actualizado, lo ideal es reiniciar el servidor o VPS para que se tomen todos los cambios. Las versiones más recientes de OpenSSL, a partir de la 1.0.1g, no son vulnerables. Las ramas 0.9.8 y 1.0.0 tampoco lo son. En otras palabras, la vulnerabilidad está presente en las versiones 1.0.1 a 1.0.1f inclusive.
¿Es posible detectar si alguien ha abusado de este bug?
Lamentablemente no. El abuso de este bug no arroja nada anormal en los logs del servidor, es decir que allí no encontraremos rastros.
En la página heartbleed.com, disponible en inglés, hay una gran cantidad de información recopilada sobre el bug Heartbleed.
Todos aquellos clientes que cuenten con nuestro servicio de Administración para su servidor dedicado o VPS (forme parte de nuestra infraestructura o no), no deben preocuparse por este asunto, nosotros nos encargaremos de hacer las actualizaciones que sean necesarias.
