martes, 15 de abril de 2014

HeartBleed también afecta a gadgets

Cargando...
HeartBleed. Imagen tomada de: eltiempo.com.

La falla de seguridad Heartbleed no sólo afecta a los sitios web. También ha aparecido en los gadgets que usamos para conectarnos a Internet.

Los gigantes tecnológicos Cisco y Juniper han identificado cerca de dos docenas de dispositivos afectados por Heartbleed, incluyendo servidores, routers, switches, teléfonos y videocámaras utilizados por pequeñas y grandes empresas de todo el mundo. Las compañías también están revisando otra varias decenas de dispositivos para determinar si también están afectados por la falla o bug.

Eso significa que desde hace dos años, alguien pudo haber intervenido tus llamadas telefónicas y mensajes de voz en el trabajo, todos tus correos electrónicos y sesiones enteras en tu ordenador o iPhone. También podrías haber estado en riesgo si iniciaste sesión en el trabajo de forma remota, desde casa. Y es probable que nunca llegues a saber si fuiste hackeado.

“Es por eso que se ha calificado como el mayor fallo de seguridad en Internet en los últimos 12 años. Es tan grande y tan abarcante”, señaló Sam Bowling, un ingeniero senior de infraestructura en el servicio de alojamiento web Singlehop.

¿Qué significa haber estado expuesto? ¿Qué datos pudieron haberse hackeado? Los investigadores de Singlehop y del proveedor de seguridad Silversky nos ofrecen un resumen:

Teléfono del trabajo: Por lo menos cuatro tipos de teléfonos IP de Cisco se vieron afectados. Si los teléfonos no están protegidos por un cortafuegos en la red, alguien podría utilizar Heartbleed para acceder a los bancos de memoria de tu teléfono. Obteniendo fragmentos de audio de tu conversación, tu contraseña de correo de voz y el registro de llamadas.

Videoconferencia de la empresa: Algunas versiones del servicio WebEx de Cisco son vulnerables. Los hackers podrían haber captado imágenes de la pantalla compartida, audio y video también.

Red privada virtual: Algunas versiones del servicio Juniper de red privada virtual están comprometidas. Si alguien intervino esta red interna, pudo haber extraído lo que estuviera en la memoria de tu ordenador en el momento. Eso incluye sesiones enteras en el correo electrónico, en la banca, en los medios sociales, lo que se te ocurra.

Smartphone: Para permitir que los empleados accedan a los archivos del trabajo desde sus iPhones y dispositivos Android, algunas empresas eligen la aplicación AnyConnectSecureMobilityClient de Cisco para iOS, que se vio afectada por Heartbleed. Un extraño pudo haber visto el contenido al que accedías con esa aplicación.

Switches: También se ha visto comprometido un tipo de software de Cisco que ejecuta interruptores de Internet. Son de difícil acceso, pero podrían permitir que un intruso interceptara el tráfico en la red.

Cisco, Juniper y Apple no respondieron a las preguntas de CNNMoney. Pero en su sitio, Juniper informa a los clientes, “Estamos trabajando contrarreloj para ofrecer versiones de código corregidas para los productos afectados.”

Pero corregir la falla en esos dispositivos no será sencillo. Cisco y Juniper no pueden simplemente presionar un botón y de inmediato reemplazar el software vulnerable que ejecutan esos dispositivos. La responsabilidad es de cada persona o empresa que utilice esos dispositivos. Y ahí es donde reside el problema.

“Es probable que muchas pequeñas y medianas empresas no actualicen [el software], y estarán muy expuestas por mucho tiempo”, advirtió John Viega, un experto en seguridad web y ejecutivo del proveedor de seguridad Silversky.

Es por eso que cambiar las contraseñas no basta para superar el daño potencial causado por el bugHeartbleed. Incluso si un sitio web no es vulnerable cuando mantiene comunicación con sus clientes, los servidores de la compañía podrían estar aún expuestos.

El problema, sin embargo, no parece estar muy extendido en el frente de los consumidores. Linksys y D-Link fabrican muchos de los routers que utilizamos para conectarnos a Internet desde casa, y dicen que ninguno de sus dispositivos están afectados. No obstante, Netgear no ha publicado actualizaciones ni ha respondido a nuestras llamadas.

Tomado de: CNN Expansión

No hay comentarios.:

Publicar un comentario