Blog de Seguridad Informática

Actualiza al nuevo OpenSSL

Actualiza al nuevo OpenSSL

Cifrar la información privada en internet es un compromiso que se reafirmó el pasado 5 de junio cuando el equipo de seguridad de OpenSSl señaló 7 nuevas vulnerabilidades descubiertas, sino la CVE-2014-0224. Éste permitía que un pirata informático pudiera interceptar el tráfico entre un cliente y un servidor, lo que se conoce como MITM o ataque man-in-the-middle.

Esta vulnerabilidad tiene un funcionamiento similar al Heartbleed que saltó a la luz en 2014, sin embargo la diferencia es la dificultad de explotar esta vulnerablidad, bastante más que el Heartbleed ya que los principales navegadores (IE, Firefox, Chrome, Safari…) no usan OpenSSL. La amenaza no planteaba un daño a corto plazo pero los protagonistas de la seguridad prefieren cortar de raíz el problema.

La vulnerabilidad es de OpenSSL, no de Symantec o del protocolo de seguridad SSL/TLS, por lo que aquellas personas que tengan certificados digitales basados en otros sistemas no se verán afectados.

Por tanto si no tienes una versión vulnerable de OpenSSL no tendrás que tomar ninguna acción ni tus certificados SSL se verán afectados.

Lo que sí es recomendable, es actualizar tanto servidores como clientes y comprobar que no tiene ninguna versión afectada de OpenSSL. Si se diera este último caso, haga el favor de comunicarse con su asesor de certificados digitales o con su líder de IT.

 

Heartbleed

Heartbleed fue un agujero de seguridad de la versión OpenSSL 1.0.1f y que fue descubierta por  Neel Mehta, un equipo de seguridad de Google.

La “hemorragia de corazón” permitía explotar una falla de seguridad y obtener datos privados, como los datos de la seguridad social de Canadá. Por suerte, el mismo día de la publicación de la falla ya estaban los parches de seguridad online, por lo que si todavía no actualizaron su sistema, es hora de que lo hagan.

Samuel Noriega Certsuperior

Samuel Noriega es un experto en tecnología y marketing digital. Síguelo en Google o en LinkedIn

Comentarios