Saltar o menú de navegación e ir ao contido

EROSKI CONSUMER, o diario do consumidor

Buscador

logotipo de fundación

Canles de EROSKI CONSUMER


Estás na seguinte localización: Portada > Novas tecnoloxías > Internet e telecomunicacións

Este artigo foi traducido por un sistema de tradución automática. Máis información, aquí.

Que facer ante os fallos de seguridade na Rede?

O fallo Heartbleed puxo de manifesto a importancia de utilizar contrasinais fortes e únicos por cada sitio web

img_heartbleed hd_ 1

A principios de abril, un grupo de enxeñeiros localizou unha vulnerabilidade no código de OpenSSL , un software libre moi utilizado por sitios web de todo o mundo para cifrar datos sensibles dos usuarios, como contrasinais, nomes ou correo electrónico. Empresas como Google, Facebook, Yahoo ou PayPal, ademais de moitos bancos, usan OpenSSL para converter en seguras as comunicacións entre o usuario e o servidor da páxina onde accede, polo que agora, tras o fallo denominado Heartbleed, a súa seguridade está en dúbida. Este artigo ofrece indicacións acerca de como actuar ante Heartbleed e outros fallos de seguridade similares.

Img heartbleed
Imaxe: Dmitry Baranovskiy

Un erro global

O fallo Heartbleed (corazón sanguento en inglés) permite entrar no inicio de sesión doutros usuarios, grazas a uns poucos kilobytes de memoria (64) que o protocolo deixa libres cando se accede a un servidor seguro. Estes bits poden ser utilizados para activar un programa de claves aleatorias que podería dar coas do usuario. Desta forma, pódense roubar as credenciais de terceiros.
O fallo Heartbleed permite entrar no inicio de sesión doutros usuarios

Ao mesmo tempo que se anunciaba o fallo, tamén se publicou o parche para a súa solución, o que levou a moitas empresas a actualizar as súas librarías. Con todo, estímase que preto dun millón de servidores usaban algunha das versións de OpenSSL co “erro” descuberto. Algunhas firmas de seguridade elevan a incidencia a unha parte importante de Internet. De feito, considérase que Heartbleed é un do tres maiores erros na historia da Rede.

A forma de aproveitarse do fallo é mediante a obtención eses 64 kilobytes da memoria do servidor para, en diferentes ataques, facerse con porcións de datos. A parte boa da noticia é que un atacante non pode elixir a que parte da memoria accede e, por tanto, que se asalte un servidor non significa que este vaia a darlle con rapidez os contrasinais das persoas.

Como se se os meus datos están seguros?

Un dos problemas para os usuarios é que non poden saber se os seus datos foron obtidos de forma maliciosa por un terceiro. Por tanto, a opción máis segura é cambiar os contrasinais de todos os servizos que empreguen OpenSSL.

A opción máis segura é cambiar os contrasinais de todos os servizos que utilicen OpenSSL

Algunhas plataformas de Internet enviaron correos electrónicos aos seus usuarios onde se lles avisa do fallo e recomenda o cambio de contrasinal. Con todo, non todos os servizos lanzaron esta advertencia. Segundo Bloomberg, a NSA (Axencia Nacional de Intelixencia de EE.UU.) estivo a utilizar esta vulnerabilidade para acceder a información, aínda que isto despois foi desmentido pola propia NSA en Twitter.

Recomendacións para protexerse de Heartbleed

Existen algunhas ferramentas en liña, como LastPass Heartbleed checker ou Heartbleed test, que permiten pescudar se unha páxina web é aínda vulnerable a este fallo de seguridade. Desta forma, os usuarios poden comprobar se os seus datos persoais están comprometidos.

Tamén existe unha extensión para o navegador Chrome que avisa á persoa se accede a unha páxina web vulnerable a Heartbleed.

Pero a recomendación máis importante é cambiar o contrasinal de todos os sitios que empreguen Open SSL e que estivesen comprometidos. Pero como na actualidade o usuario non pode saber cales o foron, máis aló dos servizos máis coñecidos da Rede, este consello esténdese a todos os servizos de Internet que utilice.

Consellos para cambiar o contrasinal

Este importante fallo de seguridade puxo de manifesto a importancia de contar con contrasinais fortes e únicos por cada sitio web. Moitas persoas usan a mesma contrasinal para darse de alta en decenas de páxinas webs a través de Internet. Con todo, no momento en que un destes servizos quede comprometido a través dun ataque malicioso, que rouba as credenciais dos usuarios, tamén se exporá ao mesmo perigo ao resto de sitios onde o cidadán comparta a mesma combinación de correo electrónico e nome de usuario e contrasinal.
Hai que buscar claves de máis de oito díxitos e que sexan unha combinación alfanumérica con signos de teclado

Algúns consellos para elixir un contrasinal pasan por buscar claves de máis de oito díxitos e que sexan unha combinación alfanumérica con signos de teclado. Para asegurarse de que a combinación é correcta, en Internet hai diferentes xeradores de contrasinais fortes.

Unha regra mnemotécnica para xerar contrasinais que poidan lembrarse sen problemas consiste en pensar nunha frase que o usuario poida lembrar con facilidade; seleccionar a inicial de cada palabra da frase; e pór algunhas en maiúsculas, minúsculas e números para ao final engadir algúns caracteres especiais. Así, para a frase “Nun lugar da mancha cuxo nomee non quero acordarme”, o contrasinal podería ser “3udL1MCnNQA$”.

Os contrasinais xerados non hai que deixalas apuntadas en texto plano nun documento do computador, xa que un acceso non autorizado ao dispositivo podería comprometer a seguridade do usuario. Para iso, existen algunhas aplicacións como 1Contrasinal, LastPass ou PassLocker, que almacenan e xestionan de forma segura os contrasinais de todos os servizos en liña e aplicacións do usuario.

RSS. Sigue informado

Pódeche interesar:

Infografía | Fotografías | Investigacións