Información de seguridad de Workana sobre el bug heartbleed (CVE-2014-0160)

Hace solamente unos pocos días, Internet se estremeció ante el descubrimiento de un bug (error de programación) en OpenSSL, una librería de criptografía que es utilizada para proteger las comunicaciones en la red. Esta falla afectó a una gran cantidad de sitios, aplicaciones y servicios web, incluyendo a Google, Facebook, Yahoo, Instagram, Flickr, Netflix, y Dropbox, entre otros gigantes de la red. El error fue tan importante que se le dio un nombre de pila: heartbleed, para identificarlo más fácilmente, siendo su nombre técnico CVE-2014-0160.

Esta falla permite el robo de información protegida por el protocolo SSL, atacando la barrera de seguridad de la que la mayor parte de Internet depende. Haciendo uso de una vulnerabilidad introducida en OpenSSL, un hacker puede acceder a la memoria de los sistemas que utilizan esta librería, pudiendo así exponer las claves secretas que son utilizadas por estos servidores para proteger sus comunicaciones, incluyendo datos de acceso sensible como usuarios y contraseñas. Es por esto que muchos sitios en el mundo están solicitando activamente que sus usuarios modifiquen sus contraseñas. Sin embargo, esto solamente es efectivo si esos mismos sitios han actualizados sus sistemas convenientemente, y modificado sus certificados SSL junto a sus claves privadas.

En Workana consideramos que la seguridad de nuestros servicios es algo esencial. Por eso la plataforma solo puede ser navegada utilizando el protocolo HTTPS, y por eso agradecemos constantemente la colaboración de conocidos white hat hackers, que nos ayudan a proteger nuestros sistemas (¡gracias WebSecurityDev!). Fue así que, apenas fue detectada esta falla, verificamos que nuestros servidores no hayan sido comprometidos, habiendo sido debidamente actualizados por Amazon Web Services. Consecuentemente hemos regenerado nuestros certificados SSL, y sus claves privadas han sido modificadas, para reducir todo riesgo a cero.

Aún cuando no tenemos evidencia alguna de robo de cuentas, contraseñas o información de ningún tipo, recomendamos que modifiques tu contraseña. Asegúrate de nunca compartir contraseñas entre diferentes servicios. Si temes no poder recordar la gran cantidad de contraseñas que estarías necesitando, evalúa utilizar un servicio como LastPass.

Un comentario
Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *