La NSA utilizó el bug HeartBleed durante años sin dar aviso

Heartbleed NSA seguridad

La Agencia de Seguridad Nacional de Estados Unidos ha informado que utilizaban el recientemente descubierto fallo de seguridad "Heartbleed" para acceder a información, según ha informado Bloomberg.

De acuerdo con dos fuentes anónimas, la NSA ha utilizado el estándar de seguridad defectuoso, ahora bautizado como "Heartbleed", durante los dos últimos años sin alertar a las empresas afectadas, ni al público en general. No está claro qué es lo que utilizó la NSA para el acceso, pero el fallo afecta a una gran parte de Internet: algo así como dos tercios.

"Heartbleed" permite que cualquier usuario pueda entrar con cierta facilidad en un servidor web que utilice ciertas versiones OpenSSL (de la 1.0.1 hasta la 1.0.1f), y recopilar las claves de cifrado del sitio; pudiendo descifrar el tráfico hacia y desde el servidor, lo que les otorga la posibilidad de desviar a los usuarios hacía copias fraudulentas del sitio. También sería posible entrar en las bases de datos del servidor en las que se encuentra la información personal de sus usuarios: nombres, contraseñas, direcciones de correo electrónico e información de pago.

En cuanto a la supuesta acción de la NSA, si es cierto lo que publica Bloomberg, todavía tenemos otra razón para desconfiar de la NSA, conocida en los últimos meses por sus tácticas extralimitadas de vigilancia masiva. Y es que no es la primera acusación que la NSA se pasa por alto intencionadamente fallos de seguridad que afectan a millones de personas. El año pasado, unos documentos revelaron que la NSA insertaba intencionalmente una "puerta trasera" de seguridad en un sistema de encriptación de datos ampliamente utilizado (RSA).

Servicios como Facebook, Instagram, Google, Dropbox y otros muchos han estado usando la versión de openSSL defectuosa, y aunque en la mayoría de los sitios ya han solucionado el problema, si el hacker ya había robado las contraseñas van a poder seguir accediendo a tus cuentas, por lo que recomendamos cambiar las contraseñas, por seguridad, en las webs afectadas.