Investigadores identificaron una grave vulnerabilidad, llamada Heartbleed, que permite a los atacantes obtener contraseñas, números de tarjetas de crédito y otra información sensible directamente de los servidores afectados. Además es posible suplantar servicios web para engañar a la gente y así robar sus credenciales.

El problema, publicado el lunes por la noche, radica en OpenSSL, software libre ampliamente utilizado para establecer comunicaciones web cifradas. La vulnerabilidad Heartbleed puede revelar el contenido de la memoria de un servidor, donde se almacenan los datos más sensibles, incluyendo nombres de usuario, contraseñas, números de tarjetas de crédito, entre otros. También es posible que un atacante obtenga copias de las llaves digitales del servidor y las utilice para hacerse pasar por el servidor afectado o para descifrar comunicaciones entre los usuarios y el servidor.

La vulnerabilidad ha sido oficialmente llamada CVE-2014-0160, pero es conocida de manera informal como Heartbleed, nombre puesto por la firma de seguridad Codenomicon, quienes junto con Neel Mehta, investigador de Google, descubrieron el problema.

Codenomicon declaró: "Esto compromete las llaves secretas usadas para identificar al proveedor del servicio y cifrar el tráfico, los nombres y contraseñas de los usuarios, además del contenido actual. La vulnerabilidad permite a un atacante espiar comunicaciones, robar información directamente de los servicios y usuarios, así como suplantarlos."

Para probar la vulnerabilidad, Codenomicon atacó a sus propios servidores. "Atacamos nuestros equipos desde fuera, sin dejar rastro. Sin utilizar información privilegiada o credenciales fuimos capaces de robar las llaves secretas de nuestros servidores, usadas para nuestros certificados X.509, nombres de usuarios y contraseñas, mensajes instantáneos, correo electrónico y documentos sensibles para nuestra empresa."

Sin embargo, Adam Langley, experto en seguridad de Google, quien ayudó a solucionar el problema con OpenSSL, comentó que sus pruebas no arrojaron información tan sensible como las llaves secretas. "Cuando probamos el parche para Heartbleed de OpenSSL, nunca obtuve llaves del servidor, sólo buffers de viejas conexiones (aunque eso incluye cookies).

El desarrollador y consultor experto en criptografía Filippo Valsorda publicó una herramienta que permite verificar la vulnerabilidad Heartbleed en un sitio web. La herramienta mostró que este problema no afecta a Google, Microsoft, Twitter, Facebook, Dropbox, entre otros grandes sitios web. Sin embargo, sí afecta a Yahoo. Valsorda explotó la vulnerabilidad para identificar las palabras "yellow submarine" en la memoria del servidor, después de una interacción usando esas cadenas.

Una de las compañías afectas por esta vulnerabilidad fue LastPass, un administrador de contraseñas. Dicha compañía actualizó sus servidores el martes por la mañana, según su portavoz Joe Siegrist, quien añadió: "LastPass es único gracias a que los datos de los usuarios son cifrados por una llave que nunca se almacena en nuestros servidores, por lo que esta vulnerabilidad no podría exponer los datos cifrados de nuestros clientes."

La vulnerabilidad afecta las versiones 1.0.1 y 1.0.2-beta de OpenSSL, versiones de software ampliamente usadas por varios sitios web y distribuidas en versiones de Linux. OpenSSL ha liberado la versión 1.0.1g que arregla ese problema, muchos sitios web deberán actualizarse con esta versión, además de revocar los certificados que probablemente hayan sido comprometidos.