Un error llamado “Heartbleed” (corazón que sangra), afectó algunas versiones de OpenSSL, un programa de uso libre muy común en conexiones seguras en Internet, que se identifica por ejemplo con una dirección que empieza con https o un candado durante operaciones bancarias o de identificación on line.

Este tipo de conexiones sirve a menudo para la mensajería instantánea, el intercambio de correo electrónico o redes privadas VPN.

¿Un problema viejo?

Puede permitir a piratas informáticos recuperar en la memoria de los servidores datos ingresados durante conexiones seguras, según expertos de la firma especializada Fox-IT. Ésta considera que la falla existe desde que salió una versión de OpenSSL, hace dos años aproximadamente.

El equipo que está detrás de OpenSSL publicó una alerta de seguridad y recomendó a sus usuarios instalar una versión mejorada del programa. Precisó además que Neel Mehta, un investigador de Google Security, fue quien descubrió la falla.

“Es probable que todos aquellos que administren un servidor en internet https estén trabajando arduamente”, dijeron los miembros del Tor Project, otro grupo que defiende el anonimato en Internet, en un mensaje publicado en su sitio.

Sugieren además a quienes buscan un “verdadero anonimato o una protección de su vida privada on line (...) mantenerse completamente alejados de Internet en estos días, mientras las cosas se solucionan”.

“Los datos más preciados”

Entre los datos que pueden recuperar los piratas informáticos figuran códigos fuente (archivos que reúnen instrucciones que ejecuta un microprocesador), contraseñas y “claves” usadas para acceder a datos encriptados o imitar un sitio.

“Son los datos más preciados, las claves mismas de encriptado”, subraya heartbleed.com, un sitio en Internet lanzado para describir las características de la falla: “permiten a los piratas desencriptar todas las conexiones pasadas y futuras con servicios protegidos”.

La falla no concierne a todas las versiones de OpenSSL. No permite a un pirata obtener más de 64 k de datos a la vez, ni controlar precisamente a qué parte de la memoria del servidor informático accede, según especialistas en seguridad informática.

Deben tomar medidas

Especialistas en ciberseguridad dicen que usaron la falla para recuperar contraseñas para los servicios del grupo en internet estadounidense Yahoo!, que afirmó en un comunicado haber resuelto el problema.

Todavía no se sabe si Heartbleed fue efectivamente usado por piratas, pero los administradores de sitios que usaron versiones riesgosas de OpenSSL deben actualizarlas con otras más recientes y más seguras e instalar actualizaciones que fueron lanzadas de emergencia.

Además, deberán cambiar las identificaciones de seguridad que permiten a los usuarios en Internet confirmar su autenticidad. Si los piratas accedieron a ellas, podrían crear copias fraudulentas de sus sitios con la meta de engañar a los usuarios para recuperar más datos.

Algunos expertos aconsejan también a los usuarios en Internet que modifiquen por precaución las contraseñas de las cuentas o servicios que desean proteger.

No fue un encargo

El informático alemán detrás del agujero de seguridad “Heartbleed”, que ha desatado un llamamiento global para cambiar todas las contraseñas en internet, niega que la vulnerabilidad sea un encargo de los servicios secretos.

En una entrevista con la edición digital de “Der Spiegel”, el programador explicó que el fallo es un “error indeseado” en una actualización del código de OpenSSL, un paquete de software libre con herramientas de criptografía -de privacidad- que se usa ampliamente en internet.