El candado que aparece junto a las direcciones web y las siglas HTTPS, señal de que la información sensible que tecleamos en algunas plataformas (como contraseñas, archivos y datos bancarios), permanece segura se ha roto, informa el diario The New York Times en su edición online.
Una falla de seguridad fue descubierta en uno de los métodos clave de cifrado en Internet, lo que podría obligar a una serie de páginas web a intercambiar las llaves virtuales que generan conexiones privadas entre el sitio y los usuarios.
Tras el aviso, compañías como el gestor de contraseñas Lastpass y Tumblr, informaron que ya habían reparado las fallas y solicitado a sus usuarios modificar sus nombres de usuario y contraseñas de forma inmediata.
La vulnerabilidad está relacionada con un bug, al que se ha denominado ’Heartbleed’, en la tecnología OpenSSL, la cual permite el cifrado de 2 terceras partes de los servidores web, y fue dada a conocer por un equipo de investigadores de seguridad finlandeses de la firma Codenomicon y 2 ingenieros de seguridad de Google.
El bug permite a los atacantes acceder a la memoria de cualquier servidor que emplee la tecnología Open SSL y tomar cualquier tipo de información: las contraseñas y nombres de usuario de los internautas, información bancaria confidencial, y el tipo de cifrado que emplean las organizaciones para comunicarse directamente con sus clientes.
Lo que hace a este web bug particularmente severo es que puede ser empleado por el atacante sin dejar rastro, y que no puede saberse si la información de un internauta ha sido comprometida a menos que la persona sea chantajeada a cambio de mantener la privacidad de su información o la vea publicada en algún sitio.
Los investigadores también mencionaron que es imposible saber si los atacantes han empleado este malware para robar información de personas, pero hallaron evidencia de que una vez que supieron sobre la falla, la explotaron.