Twitter pudo ser atacado por HEARTBLEED

Por Anabel Gómez Montiel
Mamá Digital Veracruz

heartbleed

El día de hoy desde muy temprano, la famosa red social Twitter presentó un falla a nivel mundial en su página y en su aplicación para computadora de escritorio.

Al intentar ingresar a tu cuenta te muestra este mensaje:

No se puede establecer conexión con el sitio twitter.com auténtico

Hay algo que interfiere en tu conexión segura al sitio twitter.com.

Intenta volver a cargar la página dentro de unos minutos o después de cambiar de red. Si has establecido conexión recientemente con una nueva red Wi-Fi, completa el inicio de sesión antes de volver a cargar la página.

Si accedes ahora a twitter.com, podrías compartir información privada con un atacante. Para proteger tu privacidad, Chrome no cargará la página hasta que pueda establecer una conexión segura con el sitio twitter.com auténtico.

 

¿Qué significa esto?

twitter.com utiliza normalmente la encriptación (SSL) para proteger la información. Cuando Chrome ha intentado establecer conexión con twitter.com, twitter.com ha devuelto unas credenciales inusuales e incorrectas. Por tanto, es posible que un atacante esté intentando suplantar la identidad de twitter.com o que una pantalla de inicio de sesión Wi-Fi haya interrumpido la conexión. Tu información sigue estando protegida, porque Chrome detuvo la conexión antes de que se llevara a cabo cualquier intercambio de datos.

Los ataques y los errores de red suelen ser temporales, así que es probable que esta página funcione más adelante. También puedes probar a utilizar otra red.

Información técnica

Chrome no puede utilizar el certificado que ha recibido durante este intento de conexión para proteger tu información porque el formato del certificado no es correcto.
Tipo de error: Malformed certificate
Destinatario: twitter.com
Emisor: VeriSign Class 3 Extended Validation SSL CA

Todo parece indicar que Twitter ha sido vulnerable a un fallo de seguridad que ha sido descubierto por un grupo de investigadores que trabajan en Google y en la empresa de software de seguridad Codenomicon el cual han bautizado con el nombre de “Heartbleed”. Afinando un poco más, el mismo nace de un error de implementación de la función heartbeat de OpenSSL (de ahí el nombre) y la gravedad radica en que estamos ante un bug de primer nivel (Un bug es un error o un defecto del software o hardware que hace que un programa funcione incorrectamente) o sea que se puede explotar, en este caso para comprometer los datos y las comunicaciones de los usuarios de sitios web, correo electrónico, aplicaciones de mensajería instantánea o redes virtuales privadas.

El riesgo que se corre es de tal magnitud, que dichos investigadores han creado una página dedicada por entero a desgranar el bug y a responder preguntas relacionadas con él; En ella explican que la vulnerabilidad en OpenSSL permite que cualquier atacante pueda leer la memoria de los sistemas protegidos por las versiones vulnerables de la biblioteca -desde la 1.0.1 hasta la 1.0.1f incluida-y como consecuencia de eso extraer las claves secretas utilizadas para identificar a los proveedores legítimos de servicios y cifrar el tráfico, los nombres y contraseñas de los usuarios y demás.

Esto quiere decir que si alguien ataca algún servicio/aplicación web o cualquier otro medio que proteja la información sensible con alguna de las versiones vulnerables de OpenSSL explotando el “Heartbleed”,  podrá «capturar» y desencriptar desde nombres de usuario hasta contraseñas pasando por tarjetas de crédito o conversaciones. O también hacerse pasar por un sitio legítimo sin que el navegador web lo detecte y engañar al usuario (por ejemplo si la banca online de X entidad usara OpenSSL y un tercero robara sus llaves, ese tercero podría montar una web-clon de la banca que haría llegar a los usuarios y si alguno accediera, el navegador lo detectaría como el auténtico).

Desafortunadamente los internautas no podemos hacer nada para protegernos, todo está en manos de los administradores de sistemas. Sin embargo ayer mismo crearon una nueva versión de OpenSSL en la que corrigen este error, así que confiemos en que los administradores ya la hayan instalado, por el bien de todos.

Recuerda seguirnos en Twitter y Facebook y registrarte en nuestro canal de You Tube

Yo SOY MAM@DIGITAL y tú ¿QUÉ ESPERAS?

 

Fuente: http://goo.gl/2tdfCB y http://goo.gl/g9fMsR

Foto: http://goo.gl/qUQBi5

Busquedas recientes:

yhs-default