La confianza en internet sufrió un nuevo revés con el hallazgo de una importante falla en materia de seguridad en un programa de encriptado que usan la mitad de los sitios destinado a proteger claves y otros datos como los bancarios.
La confianza en internet sufrió un nuevo revés con el hallazgo de una importante falla en materia de seguridad en un programa de encriptado que usan la mitad de los sitios destinado a proteger claves y otros datos como los bancarios.
El error, llamado Heartbleed ("corazón que sangra"), afecta algunas versiones de OpenSSL, un programa de uso libre muy común en conexiones seguras en internet, que se identifica por ejemplo con una dirección que empieza con https o un candado durante operaciones bancarias o de identificación on line.
Este tipo de conexiones sirve a menudo para la mensajería instantánea, el intercambio de correo electrónico o redes privadas VPN.
La falla puede permitir a piratas informáticos recuperar en la memoria de los servidores datos ingresados durante conexiones seguras, según expertos de la firma especializada Fox-IT, que considera que el problema existe desde que salió una versión de OpenSSL, hace dos años aproximadamente.
El equipo que está detrás de OpenSSL publicó una alerta de seguridad y recomendó a sus usuarios instalar una versión mejorada del programa. Precisó además que Neel Mehta, un investigador de Google Security, fue quien descubrió la falla.
"Es probable que todos aquellos que administren un servidor en internet https estén trabajando arduamente hoy", advierte el Tor Project, otro grupo que defiende el anonimato en internet, en un mensaje publicado en su sitio.
Sugieren además a quienes buscan un "verdadero anonimato o una protección de su vida privada on line (...) mantenerse completamente alejados de internet en los próximos días, mientras las cosas se solucionan".
Este consejo fue observado en parte por los servicios impositivos canadienses, que desactivaron el miércoles la página de su sitio que permite a los contribuyentes acceder a su perfil fiscal.
Entre los datos que pueden recuperar los piratas informáticos figuran códigos fuente (archivos que reúnen instrucciones que ejecuta un microprocesador), contraseñas y claves usadas para acceder a datos encriptados o imitar un sitio.
"Son los datos más preciados, las claves mismas de encriptado", subraya heartbleed.com, un sitio en internet lanzado para describir las características de la falla. "Permiten a los piratas desencriptar todas las conexiones pasadas y futuras con servicios protegidos", señala.
La falla no concierne a todas las versiones de OpenSSL. No permite a un pirata obtener más de 64 k de datos a la vez, ni controlar precisamente a qué parte de la memoria del servidor informático accede, según especialistas en seguridad informática.