Home » Seguridad » Sitio de Obamacare advierte sobre Heartbleed
heartbleed-Obamacare

Sitio de Obamacare advierte sobre Heartbleed

HealthCare.gov alerta de cambio de contraseñas como medida preventiva ante ‘Heartbleed’, la falla en OpenSSL detectada este mes y que ha causado revuelo por sus serias implicaciones de seguridad para usuarios en Internet.

El mensaje publicado en la página web del programa bautizado como Obamacare, que cuenta ya con ocho millones de usuarios registrados hasta el 15 de abril, indica que: “Healthcare.gov utiliza muchas protecciones para asegurar su información. Ya que no hay indicación que la información personal ha estado en riesgo, hemos tomado medidas para resolver los problemas de Heartbleed y restablecer las contraseñas de los consumidores como modo de precaución. Esto significa que la próxima vez que visite el sitio web, usted tendrá que crear una nueva contraseña.”

Implicaciones de un corazón que desangra.

La notificación del gobierno a sus usuarios de Obamacare es la más reciente en la estela de repercusiones que va dejando Heartbleed, el resultante de un pequeño error de código que puede ser aprovechado por los cibercriminales para sustraer subrepticiamente datos en la red, afectando a la mayoría de los usuarios en la web.

Heartbleed es descrito por expertos como una falla de software (bug) en OpenSSL, la tecnología de encriptación de código abierto que utilizan  al menos dos tercios de los servidores web.  Descubierta a inicios del mes por un investigador de Google y la firma de seguridad Codenomicon de origen finlandés, Heartbleed está detrás de muchos sitios HTTPS que recolectan información personal o financiera. Los criminales cibernéticos pueden explotar el bug para acceder a los datos personales de los usuarios y las claves criptográficas de los sitios, crear imitaciones de las páginas y recopilar cuantiosa información.

Aunque Heartbleed fue descubierto y divulgado ahora en abril, está latente desde marzo de 2012, han indicado  los investigadores del caso, por lo que las comunicaciones a través de SSL han estado expuestas y vulnerables por más de dos años.

Diversas fuentes coinciden en que este es uno de los fallos más graves que se hayan visto en SSL, entre otras razones por la facilidad que ofrece a los ciberdelincuentes para explotar la falla, la masividad de servicios potencialmente afectados (dos tercios de todo internet) y que el ataque no deja rastros en los registros.

Entre las medidas citadas para enmendar y prevenir figuran actualizar contraseñas de usuarios y claves de encriptación, los sitios deben actualizar la versión de Open SSL, revocar certificados SSL otorgados y emitir nuevos.

Facebook y Yahoo, entre las redes sociales más grandes, han tomado sus medidas, otros como Amazon aseguran no estar afectados. Pero el problema se extiende a los sitios de las organizaciones y afecta a los usuarios. Fuentes señalan que empresas pequeñas, o comercios minoristas en línea, por ejemplo, cuyos servicios usan Open SSL podrían tardar más tiempo en implementar los arreglos.

Usualmente, las páginas no indican si usan Open SSL, así que el proceso será difícil para los usuarios, quienes poco pueden hacer desde su lado, salvo modificar contraseñas y vigilar su información personal en línea, como transacciones bancarias, tarjetas de crédito, entre otras medidas de seguridad.

 

About OnDigital Magazine

OnDigital Magazine es la revista TI para empresas y negocios de América Latina y globales. Digitalizada para el lector B2B.