KASPERSKY LAB. Ofrece claves para protegerse de Heartbleed

 Las compañías de seguridad Kaspersky Lab y Trend Micro han emitido una serie de recomendaciones para navegar protegidos por la web.

A comienzos de esta semana os informábamos de que se había detectado un fallo de seguridad que afectaba a las versiones 1.0.1 y 1.0.2-beta de la herramienta para cifrado OpenSSL que ponía en jaque, potencialmente, a dos tercios de la web. ¿Su nombre? Heartbleed Bug.

Los analistas de Kaspersky Lab afirman que esta vulnerabilidad permite que cualquier usuario pueda acceder a datos críticos como nombres de usuario, contraseñas o incluso, la clave privada que utiliza el servidor para mantener cifrada su conexión. Además, la explotación de Heartbleed no deja huellas por lo que no existe forma exacta de saber si el servidor fue hackeado y qué tipo de datos se han podido robar.

Desde Kaspersky Lab ofrecen una serie de medidas para que los usuarios garanticen la seguridad de las páginas web por las que navegan y sepan si sus datos confidenciales están o no comprometidos:

1. Comprobar si las páginas web que visitas frecuentemente son o han sido vulnerables.- Existen varias herramientas online como Heartbleed Test para verificar la presencia de la vulnerabilidad, pero también es necesario saber si estaba presente antes. Ya se han creado varias listas con webs populares que han sido analizadas. Facebook y Google no han sido afectadas pero Yahoo, Flickr, DuckDuckGo, LastPass, Redtube, OkCupid, Hidemyass, 500px y muchas otras más si han sufrido esta vulnerabilidad. En España, también ha habido víctimas, según datos de ADICAE, como el sistema online de Banco Sabadell, Openbank y Caja 3.
2. .Cuando los propietarios de estas webs corrigen el error cambian también los certificados del sitio, por lo que hay que comprobar que el navegador está utilizándolo.- Para ello, hay que habilitar la comprobación de revocación de certificados en el navegador. Esto evitará que el navegador utilice certificados antiguos. Para comprobar la fecha de emisión del certificado de forma manual, basta con pulsar en el candado verde en la barra de direcciones y hacer clic en “Información” en la pestaña “Conexión”.
3. Cuando el servidor se repara y actualiza el certificado es necesario cambiar la contraseña de manera inmediata.

Este último consejo también lo comparte Trend Micro, en especial para aquellos servicios en los que se suelen manejar datos altamente sensibles. Esta compañía de seguridad añade que es importante revisar lo que está sucediendo en las cuentas asociadas, o al menos echar un ojo a las actualizaciones que se han registrado últimamente, para detectar “cualquier actividad sospechosa” y contar siempre con una solución antimalware completa y al día.

Fuente: Diarioti.com y Silicon Week