Las compañías de seguridad
Kaspersky Lab y Trend Micro han emitido una serie de recomendaciones para
navegar protegidos por la web.
A comienzos de esta semana os informábamos de que se había detectado un
fallo de seguridad que afectaba a las versiones 1.0.1 y 1.0.2-beta de la
herramienta para cifrado OpenSSL que ponía en jaque, potencialmente, a dos
tercios de la web. ¿Su nombre? Heartbleed Bug.
Los analistas de Kaspersky Lab afirman que esta vulnerabilidad permite que
cualquier usuario pueda acceder a datos críticos como nombres de usuario,
contraseñas o incluso, la clave privada que utiliza el servidor para mantener
cifrada su conexión. Además, la explotación de Heartbleed no deja huellas por
lo que no existe forma exacta de saber si el servidor fue hackeado y qué tipo
de datos se han podido robar.
Desde Kaspersky Lab ofrecen una serie de medidas para que los usuarios
garanticen la seguridad de las páginas web por las que navegan y sepan si sus
datos confidenciales están o no comprometidos:
- Comprobar si las páginas web que visitas frecuentemente son o han sido vulnerables.- Existen varias herramientas online como Heartbleed Test para verificar la presencia de la vulnerabilidad, pero también es necesario saber si estaba presente antes. Ya se han creado varias listas con webs populares que han sido analizadas. Facebook y Google no han sido afectadas pero Yahoo, Flickr, DuckDuckGo, LastPass, Redtube, OkCupid, Hidemyass, 500px y muchas otras más si han sufrido esta vulnerabilidad. En España, también ha habido víctimas, según datos de ADICAE, como el sistema online de Banco Sabadell, Openbank y Caja 3.
- .Cuando los propietarios de estas webs corrigen el error cambian también los certificados del sitio, por lo que hay que comprobar que el navegador está utilizándolo.- Para ello, hay que habilitar la comprobación de revocación de certificados en el navegador. Esto evitará que el navegador utilice certificados antiguos. Para comprobar la fecha de emisión del certificado de forma manual, basta con pulsar en el candado verde en la barra de direcciones y hacer clic en “Información” en la pestaña “Conexión”.
- Cuando el servidor se repara y actualiza el certificado es necesario cambiar la contraseña de manera inmediata.
Fuente: Diarioti.com y Silicon Week