Hackers podrían utilizar Heartbleed para crear páginas web falsas

heartbleed degradado

La ya famosa vulnerabilidad de la librería OpenSSL va por el camino de ser más incómoda de lo previsto inicialmente. Los esfuerzos necesarios por parte de las compañías para parchear el fallo podrían causar grandes trastornos en Internet y provocar ralentizaciones, además de que los hackers podrían crear páginas web falsas para engañar a los usuarios.

Tras conocer la existencia de Heartbleed, una vulnerabilidad de la librería OpenSSL utilizada por numerosos servicios en Internet que puede permitir a los hackers engañar a cualquier sistema que utilice una versión de OpenSSL de hasta 2 años de antigüedad para que deje al descubiertos datos como contraseñas, y saber que algunos routers también están afectados como los de los fabricantes Cisco Systems y Juniper Networks, nos llega la noticia de que los hackers podrían utilizar la vulnerabilidad para crear páginas web falsas imitando a las real para engañar a los usuarios entregando información personal valiosa. Además, los esfuerzos que están realizando las compañías para parchear el error podrían provocar que la navegación por Internet sea más lenta.

Páginas web falsas imitando a las reales

Unos expertos de seguridad han confirmado a The Washington Post que los esfuerzos que las compañías están llevando a cabo para tratar de reparar los sistemas de cifrado, en cientos de miles de páginas web a la vez, podrían causar trastornos en Internet como ralentizaciones u otros fallos. Pero lo más alarmante es que, nuevas revelaciones sugieren que los hackers expertos podrían usar el error para crear páginas web falsas imitando a las reales con el fin de engañar a los usuarios para que les entreguen datos valiosos. Para ello sería necesario que los hackers robaran el certificado de seguridad de cada servicio que prueba que ese servicio es real. CloudFlare creía inicialmente que era prácticamente imposible robar el certificado de seguridad, pero el pasado viernes lanzó un desafío abierto a hackers de todo el mundo para ver si Heartbleed podría ser utilizado para robar el certificado, el cual dejó unas conclusiones inquietantes.

Muy difícil, pero no imposible

Para el desafío, CloudFlare instó a los usuarios a ejecutar sus propios test en un servidor de pruebas con la vulnerabilidad. Los hackers tenían que robar el certificado de seguridad y enviar un mensaje a CloudFlare firmado con el certificado para probar que lo habían conseguido, todo en un plazo de nueve horas. Tres horas después, un usuario ya lo había conseguido. Tras él otros tres usuarios también lo lograron. Con este desafío quedó claro que aunque es muy difícil robar el certificado de seguridad, no es imposible como estimaba CloudFlare, por lo que existe la posibilidad de que se puedan crear webs falsas. Como siempre, lo recomendable es tener mucha precaución a la hora de navegar y estar atentos a las noticias que vayan surgiendo sobre Heartbleed.

Fuente: The Washington Post | adslzone

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -