¿Qué contraseñas debo cambiar ante el fallo de Internet?
close
Recibe noticias a través de nuestro newsletter
¡Gracias! Desde ahora recibirás un correo diario con las noticias más relevantes.
sync

¿Qué contraseñas debo cambiar ante el fallo de Internet?

El enorme error informático Heartbleed les está causando grandes dolores de cabeza a expertos, sitios web y los usuarios, que se preguntan si deben cambiar o no sus contraseñas. Aquí, las claves para entender y actuar.
11 de abril, 2014
Comparte

OCDE_Medios_Internet

El inédito error informático llamado Heartbleed les está causando grandes dolores de cabeza a los expertos en seguridad.

Mientras tanto, los sitios web intentan solucionar el problema y los usuarios, asustados, se preguntan si deben cambiar o no sus contraseñas para evitar el robo de sus cuentas de correo electrónico, números de tarjetas de crédito y otra información confidencial.

A continuación respondemos las dudas más comunes.

¿Qué es Heartbleed ?

Es un fallo que afecta a los códigos OpenSSL, muy usados para la encriptación de datos en internet. Data de 2012 y recién ahora fue descubierto.

Esto ha permitido que un tercio de los sitios web mundiales quedaran vulnerables al robo por parte de hackers, lo que los expertos dicen es una de las brechas de seguridad más graves de los últimos años.

Esto significa que el icono de un candado pequeño (HTTPS) que vemos a la izquierda de la barra del navegador y en el que confiamos para mantener nuestras contraseñas de correos electrónicos personales y tarjetas de crédito seguras, en realidad está “abierto”.

Esto pone al alcance de cualquier hacker el acceso a unidades de información privada y protegida alojadas en servidores que usaran la codificación OpenSSL.

El fallo fue localizado por ingenieros de Google y de la empresa de seguridad informática Codenomicon la semana pasada. El lunes por la noche los responsables de OpenSSL dieron a conocer el problema y publicaron una actualización que lo soluciona.

¿Qué tan grave es? ¿Debo entrar en pánico?

Es grave, dado que afecta a dos tercios de la red. Los errores en el software van y vienen y son reparados por nuevas versiones. Sin embargo, este error ha dejado gran cantidad de claves privadas y otros secretos expuestos. El experto en seguridad Brue Schneier lo describió como “catastrófico”. “En la escala de uno a 10, es un 11”.

Pero no hay que entrar en pánico. Hay que estar atento.

Los investigadores de seguridad que descubrieron la amenaza están particularmente preocupados por el hecho de que no fue detectado durante más de dos años. Por eso temen la posibilidad de que los piratas informáticos pueden haber estado explotando en secreto el problema antes de su descubrimiento.

También es posible que nadie se haya aprovechado de la falla antes del anuncio de su existencia la noche del lunes.

Como explica a la BBC David Stupples, profesor de la City University de Londres, aun no se ha oído de ningún daño serio desde que se supo del fallo.

¿Cómo sé si fui atacado?

Ese es el problema. Los posibles ataques no dejan rastros. La página Heartbleed.com, creada para explicar el incidente informático, probó la falla en sus propios servicios “desde la perspectiva del atacante”.

“Nos atacamos a nosotros mismos desde fuera, sin dejar rastro. Sin el uso de información privilegiada o credenciales pudimos robarnos a nosotros mismos las claves secretas utilizadas por nuestros certificados X.509, nombres de usuario y contraseñas, mensajes instantáneos, correos electrónicos y documentos críticos de negocio y comunicación”, explica el sitio.

Seguramente estés afectado, “de forma directa o indirecta, dice el sitio. El OpenSSL es el código abierto más utilizado. Tu popular red social, el sitio de tu empresa, de comercio electrónicoo incluso los sitios administrados por el gobierno podría estar usando OpenSSL vulnerable.

¿Debo cambiar mis contraseñas?

Sí, pero primero hay que ver si el sitio en cuestión –mail, red social o banco, por ejemplo- ya reparó el error. Cambiarlas antes de que los servicios hayan solucionado el fallo nos dejaría más expuestos, advierten los analistas de seguridad.

Para los sitios web, el proceso de corrección del fallo implica la instalación de parches de software en los equipos de sus centros de datos y luego cambiar la clave del software confidencial utilizado para proteger los mensajes y transacciones.

Lee también nuestra guía para cambiar las contraseñas

¿Qué sitios están en peligro?

Google les está diciendo a sus usuarios que no tienen que cambiar las contraseñas que utilizan para acceder a Gmail (que tiene 425 millones de cuentas), YouTube y sus otros productos.

Una fuente de la empresa le dijo a la BBC que corrigieron la vulnerabilidad antes de que se hiciera pública.

Facebook, que tiene más de 1.200 millones de titulares de cuentas, también dijo haber purgado la amenaza, pero igual recomendó a los usuarios “aprovechar esta oportunidad para seguir las buenas prácticas y establecer una contraseña única para su cuenta de Facebook que no utilicen en otros sitios”.

La red social Twitter y el gigante del comercio electrónico Amazon dicen que sus páginas web no se expusieron a Heartbleed. Ebay, que administra el servicio de pagos PayPal, dijo que la mayoría de sus servicios evitaron el error.

Algunos señalan que hay muchos sitios más pequeños que aún no se han ocupado de la cuestión y en esos casos cambiar de contraseña podría hacer más daño que bien, dejando al descubierto viejas y nuevas contraseñas a cualquier posible atacante.

En esta página uno puede ver si la página a la que quiere entrar ya resolvió el problema: clichttp://filippo.io/Heartbleed

Fue creada por el experto en seguridad Filippo Valsorda, quien le dijo a BBC Mundo que recibe unas 17.000 visitas por minuto. La página es en inglés, pero su diseño es simple y fácil de entender.

Contenido relacionado

 

 

*Nota publicada el 10 de abril de 2014.

Lo que hacemos en Animal Político requiere de periodistas profesionales, trabajo en equipo, mantener diálogo con los lectores y algo muy importante: independencia. Tú puedes ayudarnos a seguir. Sé parte del equipo. Suscríbete a Animal Político, recibe beneficios y apoya el periodismo libre.

#YoSoyAnimal

El duro testimonio de Matthew, el niño estadounidense que amenazó a Trump en un video de Estado Islámico

Matthew todavía recuerda cuando su vida cambió: la noche en que su madre y su padrastro cruzaron con él hacia territorio de Estado Isámico.
24 de noviembre, 2020
Comparte

Matthew todavía recuerda el momento en que su vida cambió: la noche en que su madre y su padrastro cruzaron con él las fronteras de Turquía hacia el territorio del autodenominando Estado Isámico (EI) en Siria.

“Corrimos por una zona muy oscura, llena de alambres… No pasaba mucho por mi cabeza, excepto, ‘necesito correr'”, recordó al contar por primera vez su terrible experiencia al programa Panorama de la BBC y a Frontline, de la emisora pública estadounidense PBS.

Matthew, nacido en EE.UU., fue llevado a Siria cuando tenía 8 años y su cara se hizo conocida cuando los militantes de EI lo utilizaron en un video en el que amenazaba al presidente Donald Trump.

Ahora con 13 años, está de vuelta en su país y vive con su padre, luego de que el ejército de Estados Unidos lo rescatara y lo llevara a casa en 2018.

Dice que es un “dulce alivio” estar de vuelta.

“Lo que pasó, pasó. Todo quedó atrás”, cuenta a la BBC.

“Era tan pequeño que no entendía lo que estaba sucediendo”, agrega.

Camino al infierno

Fue en abril de 2015 cuando una aparentemente común familia estadounidense cruzó al territorio de EI desde la provincia fronteriza turca de Sanliurfa.

En Raqqa, la ciudad reivindicada por los combatientes islamistas como su capital, el padrastro de Matthew, Moussa Elhassani, fue enviado a recibir entrenamiento militar y se convirtió en francotirador.

A sus 8 años, Matthew hizo todo lo posible para darle sentido a su nuevo hogar.

“Cuando estuvimos por primera vez en Raqqa, nos quedábamos en la ciudad. Era bastante ruidosa por los disparos. De vez en cuando se escuchaba una explosión, pero era lejana. Así que no teníamos mucho de qué preocuparnos”, recuerda.

Matthew in the US, aged 13

BBC
Matthew tiene 13 años actualmente.

A principios de 2017, la madre de Matthew, Samantha Sally, le envió un correo electrónico a una hermana en EE.UU.

Le pedía dinero de forma desesperada para ayudar a la familia a escapar.

Adjunto, le envió también algunos videos extremadamente inquietantes sobre Matthew.

En uno, el padrastro Moussa Elhassani, obligaba a Matthew a armar un cinturón suicida.

El niño, que seguía las instrucciones, recreaba cómo daría la bienvenida a posibles rescatadores estadounidenses, para luego matarlos detonando los explosivos.

En otro video, se le veía desmontando un AK-47 cargado, desafiado por su padrastro a hacerlo en menos de un minuto.

La pesadilla

Una noche, a medida que la coalición liderada por Estados Unidos intensificaba sus ataques aéreos contra Raqqa, una bomba golpeó una casa vecina, que se derrumbó sobre el lugar donde vivía Matthew con su familia.

El niño se salvó de milagro: logró salir a tientas entre los escombros y el polvo.

Poco después, en agosto de 2017, Raqqa estaba en ruinas, pero Estado Islámico todavía estaba seguro de su victoria.

Matthew aged 10 in a still from the IS propaganda video in which he was made to recite a message to Donald Trump

BBC
Matthew fue utilizado en varios videos de propaganda de EI.

Fue entonces cuando el grupo utilizó a Matthew para grabar un video de propaganda en el que amenazaba a Trump.

“Mi mensaje para Trump, el títere de los judíos: Alá nos ha prometido la victoria y te ha prometido la derrota“, dijo el niño, recitando el mensaje que le habían hecho aprender de memoria.

“Esta batalla no va a terminar en Raqqa o Mosul. Va a terminar en tus tierras… Así que prepárate, porque la lucha acaba de comenzar”.

Años después, el niño recuerda que fue su padrastro quien lo obligó a grabar el video y que durante la filmación lo amenazaba.

“Estaba empezando a perder el control, como si hubiera tenido problemas mentales”, cuenta.

Matthew on a fishing trip with his father, Juan

BBC
Matthew vive actualmente con su padre.

Poco después, Elhassani murió en un presunto ataque con drones.

“Me alegré porque no me agradaba, obviamente”, dijo Matthew.

“No creo que debería haber estado feliz porque una persona murió, pero lo estaba. Todos estábamos llorando…de alegría”.

El rescate

Tras la muerte del padrastro, la madre de Matthew, Samantha Sally, le pagó a unos traficantes de personas para que ella y sus cuatro hijos salieran del territorio de Estado Islámico.

Matthew fue escondido dentro de un barril en la parte trasera de un camión para poder pasar por los puestos de control.

Cuando llegaron al territorio controlado por los kurdos, fueron retenidos en un campo de detención, y fue allí en el invierno de 2017 donde la BBC comenzó a hablar con Sally.

La mujer contó que su marido la había engañado para que llevara a su familia a Siria y que no tenía idea de lo que estaba planeando.

Samantha Sally in a detention camp in Syria

BBC
Samantha Sally comenzó a hablar con la BBC en 2017.

Una vez en Raqqa, dijo, el hombre se había vuelto violento con ella.

La estadounidense reconoció que durante su estancia allí habían comprado a dos adolescentes yazidíes como esclavas y que su marido las violaba con regularidad.

Las pruebas

Tras su regreso a EE.UU., mientras estaba en la cárcel en espera de juicio, Sally continuó defendiendo su versión de que había sido engañada por su marido.

Aunque lo había apoyado “en sus estúpidas empresas“, insistió en que no era culpable de que se uniera al EI.

Sin embargo, la investigación de la BBC y de PBS descubrió pruebas que socavaron esta historia.

Un miembro de la familia Elhassani dijo que Moussa se había obsesionado con EI en los meses previos a la salida de la familia de EE.UU. y que lo había visto viendo propaganda del grupo, incluidos videos de ejecuciones, en la casa de la familia.

Una amiga de Sally también recordó una conversación con ella en la que le había dicho que su esposo sentía un llamado para unirse a “la guerra santa”.

La investigación también reveló que Sally había hecho una serie de viajes a Hong Kong en las semanas antes de que la familia dejara EE.UU. y que había depositado al menos US$30.000 en efectivo y oro en cajas de seguridad.

Después de casi 12 meses tras las rejas, Sally cambió su historia y se declaró culpable de financiar el terrorismo como parte de un acuerdo de culpabilidad.

Las pruebas mostraron después que Sally había ayudado a filmar los videos de su hijo con el cinturón suicida y el AK-47.

De acuerdo con los fiscales, es probable que nunca se sepa por qué ayudó a su esposo a unirse a Estado Islámico, aunque su defensa argumenta que fue coaccionada por el marido controlador.

Desde su regreso a EE.UU.. Matthew ha recibido asesoramiento para ayudarlo a lidiar con los traumas de todo lo que le sucedió.

Según sus médicos, ha mejorado y lo está haciendo bien.


Ahora puedes recibir notificaciones de BBC Mundo. Descarga la nueva versión de nuestra app y actívalas para no perderte nuestro mejor contenido.

https://www.youtube.com/watch?v=uWp9HZTTdyM

Lo que hacemos en Animal Político requiere de periodistas profesionales, trabajo en equipo, mantener diálogo con los lectores y algo muy importante: independencia. Tú puedes ayudarnos a seguir. Sé parte del equipo. Suscríbete a Animal Político, recibe beneficios y apoya el periodismo libre.

#YoSoyAnimal
close
¡Muchas gracias!

Estamos procesando tu membresía, por favor sé paciente, este proceso puede tomar hasta dos minutos.

No cierres esta ventana.