Heartbleed - ¿qué se puede hacer para mantenerse a salvo?

La vulnerabilidad heartbleed SSL está siendo noticia en todo el mundo - y falseando en la prensa y en línea está causando confusión. ¿Cómo puede mantenerse seguro y producirán sus datos personales no se filtró?

¿Qué es heartbleed? Bueno, no es un virus

Usted probablemente ha escuchado heartbleed descrito como un virus. Este no es el caso: de hecho, es una debilidad, una vulnerabilidad en los servidores que ejecutan OpenSSL. Esta es la implementación de código abierto de SSL y TLS, los protocolos utilizados para conexiones seguras - los que comienzan https: // en lugar de la habitual http: //.

Muo-heartbleed-ayuda-https

Esta vulnerabilidad - más comúnmente conocida como un error - esencialmente crea un agujero a través del cual los hackers pueden eludir el cifrado. Confirmado el 7 de abril^º 2014, se produce en todas las versiones de OpenSSL excepto 1.0.1g. La amenaza se limita a sitios que se ejecutan OpenSSL - bibliotecas otra SSL y TLS están disponibles, pero OpenSSL se emplea ampliamente en servidores en la web. Existe una solución para el problema, pero esto puede no haber sido aplicada a los sitios web que visita regularmente para las actividades de seguros. Estas podrían ser las compras en línea, juegos de azar y otros sitios web con temas para adultos o incluso redes sociales.

Como resultado, todo tipo de información personal y financiera podría estar en riesgo.

Para tener una idea de lo grande que una heartbleed mano es (y por qué se llama así,), Ryan ha puesto recientemente este error de Internet que abarca en su contexto. Debemos subrayar que heartbleed es una vulnerabilidad a través de Internet y por lo tanto afecta a los usuarios de todos los sistemas operativos, de escritorio y móviles.Bug masivo en OpenSSL pone mucho de internet en riesgoBug masivo en OpenSSL pone mucho de internet en riesgoSi eres una de esas personas que siempre he creído que la criptografía de código abierto es la forma más segura para comunicarse en línea, usted se encontrará con un poco de sorpresa.Lee mas

Por lo tanto, es una gran cosa - pero qué se puede hacer al respecto?

Ignorar el bombo & No entre en pánico

Bueno, hay una cosa que no debe hacer: pánico. Mucho se ha escrito a través de Internet y en los medios de comunicación impresos en los últimos días y mucha de ella es bombo, pornografía fatalidad que pondría a los efectos de la famosa Guerra de los mundos de la emisión de radio a la vergüenza de Orson Welles.

Muo-heartbleed-ayuda-dontpanic

Gran parte de lo que ya han visto habrán sido improvisado de comunicados de prensa y otros informes de los periodistas no están familiarizados con la terminología y la falta de comprensión clara acerca de los riesgos.

Por ejemplo, es posible saber que debe cambiar sus contraseñas inmediatamente (no es del todo cierto, hay que añadir - véase más adelante). Pero, ¿sabía sobre el riesgo de suplantación de identidad?

El riesgo de phishing

servicios responsables web, los bancos y las redes sociales que han sido afectadas por heartbleed le dejará un correo electrónico para informarle de que han reparado la vulnerabilidad y recomendar que cambie su contraseña.

Naturalmente, usted debe hacer esto - pero tenga en cuenta que esta situación presenta una oportunidad ideal para los phishers para empezar a enviar correos electrónicos falsos, completo con enlaces incorporados a la página “Cambio de contraseña” - en realidad, un sitio web diseñado para cosechar sus datos.

Muo-heartbleed-ayuda-pinterest

Ninguno de los servicios que utilice deben recomendamos que haga clic en un enlace de cambio de contraseña en un correo electrónico enviado correos electrónicos no solicitados. Por desgracia, IFTTT hizo, al igual que Pinterest (arriba). Esta es una mala práctica y da la impresión de que tal relación es aceptable y debe ser pulsado.

A menos que usted ha solicitado el correo electrónico, un enlace de este tipo no debería ser pulsado.

Heartbleed mensajes de correo electrónico de restablecimiento de contraseña no deben incluir enlaces de inicio de sesión. Si no lo hacen, borrarlos, a continuación, visite el sitio web escribiendo la dirección en el navegador (o seleccionándolo de la historia o favoritos dependiendo de cómo usted rueda con estas cosas). A partir de ahí, restablecer su contraseña ...

... pero sólo si realmente se necesita en esta etapa.

Vídeo: ¿Qué debo hacer para ser salvo? - Andrés Corson - 5 Marzo 2017

Por desgracia, la necesidad PR impulsada por las empresas para que parezca que están haciendo algo acerca de amenazas como heartbleed puede llegar a ser tan perjudicial como la propia amenaza.

Por lo tanto, debe cambiar sus contraseñas?

Una de las principales piezas de asesoramiento heartbleed en circulación es que debe cambiar sus contraseñas de inmediato.

Todos ellos.

Esto, por desgracia, es un ejemplo de la información errónea que me he referido en la introducción. Digamos que utiliza la misma contraseña para varios sitios web. En primer lugar, se trata de una mala práctica y se debe reconsiderar hacerlo en el futuro (por no mencionar crear contraseñas más seguros).Las contraseñas seguras: Generar una contraseña diferente para cada sitio webLas contraseñas seguras: Generar una contraseña diferente para cada sitio webLee mas

Muo-heartbleed-ayuda-contraseña

En segundo lugar, si cambia de manera indiscriminada todas sus contraseñas, lo más probable es que vas a hacerlo en un sitio web que no se ejecuta en el servidor parcheado - uno sobre el cual heartbleed sigue siendo una vulnerabilidad.

Sin darse cuenta que han compartido potencialmente su contraseña antigua y la nueva contraseña con los que son capaces de explotar la vulnerabilidad de sus operaciones de fraudes y spam de identidad.

Como tal, sólo se debe cambiar la contraseña en un sitio por el sitio cuando se sabe que se han parcheado - es decir, se ha aplicado el arreglo y la vulnerabilidad cerrada.

Compruebe qué sitios web han sido parcheado

Comience comprobando los sitios web que están libres de la vulnerabilidad heartbleed.

Hay dos maneras de hacer esto. En primer lugar, la cabeza a Mashable, donde una lista actualizada de los sitios web de renombre afectados por heartbleed se puede encontrar, junto con consejos sobre si debe cambiar su contraseña o no.

Para los sitios web más pequeños, esta excelente herramienta de búsqueda le dirá al instante si el sitio ha sido parcheado.

Vídeo: Heartbleed

Una alternativa es la extensión Chromebleed del cuadro por Google Chrome.

Si los sitios web que utilizas se han visto afectadas y aún no han parcheado la vulnerabilidad heartbleed, evite ingresar hasta que se resuelva la situación.

Conclusión: Es un juego de la espera

Tratar con la tormenta heartbleed no debería ser un problema para la mayoría. Sobre el inicio del curso hemos aconsejado anteriormente, y no cambie las contraseñas hasta que se le indique que lo haga por los sitios web y servicios correspondientes.

Muo-heartbleed-ayuda-corazón

También puede utilizar nuevas herramientas para comprobar si el sitio planea visitar (o incluso el de ejecutar) se ha visto afectada, y si se ha aplicado una solución.

Lo más importante es estar seguro y ser paciente. El potencial de heartbleed a causar problemas masivos sigue ahí - evitar cualquier sitio web que requieren parches hasta que sepas que ahora son seguras.