Un error en uno de los principales programas de conexión segura utilizado en Internet ha tenido potencialmente expuestos a millones de usuarios desde hace dos años. El pasado lunes 7 de abril, Google difundió un punto débil en el sistema de cifrado que utiliza para sus conexiones seguras, llamado OpenSSL, que también ha afectado a gigantes como Yahoo y Amazon. Esta grieta, existente desde 2011 y descubierta en diciembre de 2013 por un técnico de Google, podría haber permitido a hackers robar contraseñas de los usuarios.

El problema afecta a las conexiones seguras, las que comienzan con “https” y aparecen en la barra de direcciones cuando el usuario introduce datos delicados, habitualmente contraseñas. El fallo ha sido bautizado en inglés como Heartbleed.

El agujero de seguridad está en el código fuente (los bloques de construcción que componen un programa informático) de las versiones 1.0.1 a 1.0.1f de OpenSSL. Ya existe una nueva versión lista para descargar que subsana el fallo: la 1.0.1g. Los internautas de las páginas que utilizan este código habrían sido potencialmente vulnerables desde 2011. Y si alguien hubiera accedido a información confidencial, no habría dejado rastro. Pero los expertos llaman a la calma porque no hay razones para suponer que la seguridad haya sido violada desde entonces.

Open SSL es un sistema de seguridad utilizado por algunas de las principales web que existen, y “entre el 50% y el 70%” de servidores según Igor Unanue, técnico de la empresa de seguridad S21SEC. Ricardo Galli, fundador de Menéame, rebaja los servidores afectados a unos 500.000. Es gratuito y funciona como una herramienta que las web utilizan para cifrar la información que intercambian con los usuarios individuales, para que esta no pueda ser robada por terceros.
El fallo puede incluso afectar a quien se conecte a su cuenta de banco por Internet, si usan este método de cifrado (existen otros), aunque Unanue recuerda que las entidades siempre utilizan sistemas de seguridad complementarios, independientes del cifrado de la contraseña. La Caixa afirmó el pasado 10 de abril que sus servidores usan una versión de Open SSL que no ha sido afectada.

La vulnerabilidad podría haber afectado a unas 600 de las 10.000 páginas con más tráfico de la red, según un experto de la empresa Qualys citado por Associated Press. Eso supone “millones” de usuarios cuya información ha estado potencialmente expuesta. Los afectados de mayor tamaño están solucionando el error, pero el alcance todavía se desconoce.
Por el momento Yahoo ya anunciado que ha instalado un parche para arreglar el fallo. También otras importantes webs que usan Open SSL han puesto solución al problema, como Google, Facebook, Youtube, Twitter, Blogspot, Amazon, WordPress y Pinterest

Los expertos aconsejan cambiar las contraseñas de seguridad, aunque el procedimiento correcto es hacerlo en un par de días, cuando ya se haya solucionado el problema. El usuario deberá modificar sus contraseñas tanto en emails, redes sociales, claves de acceso…