Hace unos días saltaron todas las alarmas con la aparición de una nueva vulnerabilidad debido a un bug bautizado como heartbleed. Pero… ¿Qué es realmente lo que sucede?

Cuando un usuario navega por una página web, el ordenador del usuario envía unos paquetes llamados keep-alive. Estos paquetes se encargan de mantener la conexión con el servidor enviando caracteres (fechas, caracteres, nombres). El servidor recibe estos datos y los reenvía al cliente.

Un usuario puede engañar al servidor y obtener información privada.

El problema viene cuando el cliente engaña al servidor diciendo que su paquete contiene 60 caracteres, cuando en realidad el paquete consta de menos caracteres. El servidor devuelve un paquete de 60 caracteres, con información ya guardada de otros usuarios o servicios.

La viñeta a continuación explica de una manera muy simple como funciona la vulnerabilidad.

 

 

Como podemos ver el usuario «Meg» ha pasado paquetes al servidor y este devuelve exactamente lo mismo. Pero en la 5ª viñeta vemos como «Meg» pasa un paquete con supuestamente 500 caracteres y el servidor devuelve esos 500 caracteres. En esos caracteres puede contener cualquier tipo de información. Desde caracteres sin sentido ha cuentas de correo con contraseñas.

¿Qué puedo hacer para que no me afecte?

Nada. No puedes hacer nada. Tendrás que esperar a que las empresas y compañías actualicen los servidores corrigiendo esta vulnerabilidad.

¿Qué medidas debo tomar?

Cuando los servidores que uses (google, yahoo, facebook, etc…) corrijan esta vulnerabilidad, lo que debemos hacer es cambiar las contraseñas. Podrás ver si un servidor es seguro en esta web: http://filippo.io/Heartbleed/