Por Tobias Hanraths (dpa) – Los internautas deberían cambiar sus contraseñas después del reciente descubrimiento de un agujero de seguridad llamado «Heartbleed». El problema se debe a un error en el protocolo de criptografía OpenSSL, que es utilizado por numerosas páginas web, entre ellas también Google, Facebook y Yahoo. Por esto, el problema afecta a casi todos los usuarios de Internet. El blog estadounidense «Mashable» ha elaborado una lista de varias páginas web y servicios.
La web de tecnología Ars Technica calcula que dos tercios de los servidores web utilizan Open SSL para proteger las contraseñas y otros datos sensibles. Como los ataques propiciados por el «Heartbleed» son indetectables, no se sabe a ciencia cierta si esta vulnerabilidad ha sido explotada a lo largo de los dos últimos años. Pero que Ars Technica lo calificara de «catastrófico» refleja la extendida sensación de fatalismo en las conversaciones de los expertos en seguridad.
Hackers potenciales pueden aprovecharse del agujero de seguridad de OpenSSL para interceptar informaciones que en realidad estaban protegidas, entre ellas también datos de acceso. Por tanto, cambiar la contraseña sólo tiene sentido cuando una página web ha cerrado el agujero. «Los proveedores importantes ya parecen haber actualizado sus sistemas», según Jan-Peter Stotz, experto del instituto alemán Fraunhofer para la seguridad en la tecnología de la información.
Por esta razón, el momento adecuado para hacerlo ya ha llegado, dice Stotz, porque «actualmente cualquier atacante potencial conoce la existencia del agujero». El experto presume que los grandes operadores de plataformas van a informar a sus usuarios de la necesidad de cambiar la contraseña. Tumblr, la popular red social perteneciente a Yahoo, ya ha pedido a sus usuarios que lo hagan. Sea como fuere, Stoyz opina que los propios usuarios ya deben actuar ahora mismo.
Al respecto, hay que prestar especial atención a la cuenta del correo electrónico, subraya Stotz: si un hacker logra acceso a esa cuenta, puede utilizar la función de restauración de contraseñas para atacar también otros servicios en los que el usuario tiene una cuenta, incluso si el software deficiente OpenSSL ni siquiera se usaba en esos servicios.
Según la Oficina Alemana para la Seguridad en la Tecnología de la Información, una buena contraseña tiene al menos 12 caracteres, entre ellos mayúsculas y minúsculas, cifras y caracteres especiales. Nunca deberían elegirse nombres ni términos de diccionarios o combinaciones de letras del teclado como «ASDFG». A fin de reducir al mínimo el daño causado por un ataque exitoso o por el robo de datos, los usuarios deberían usar para cada servicio una contraseña diferente.
Desde luego que cuanto más cuentas tiene el usuario, tanto más difícil resulta administrar tantas contraseñas. Por esta razón, Stotz recomienda buscar ayuda. «Cuando se trata de contraseñas, la regla general es esta: mejor una buena contraseña escrita o archivada que una mala memorizada», dice el experto del instituto Fraunhofer.
Por ejemplo, los usuarios pueden dejar sus códigos de acceso en manos de un administrador de contraseñas, que existe como extensión del navegador, programa para el PC o app. En tal caso sólo tienen que recordar una contraseña maestra, porque el resto funciona automáticamente. Sin embargo, también es posible hacer esto de forma analógica, explica Stotz: «Las contraseñas importantes también se pueden escribir en papel y guardarse en casa en un lugar seguro. Es cierto que ahí no están protegidas contra ladrones pero sí contra hackers.