vía Experto aconseja evitar por algunos días transacciones bancarias | Tendencias | La Tercera Edición Impresa.

Hace dos años que los servidores de internet del mundo presentan un grave error. Pero nadie lo sabía. Hasta que el miércoles Codenomicon, una firma de seguridad, descubrió la falla. Se trata de Heartbleed, una grave vulnerabilidad de OpenSSL, software gratuito que permite el cifrado y desencriptación de datos entre servidor y cliente, y que permite realizar transacciones comerciales de manera segura (los sitios en que aparece https). Y pese a que OpenSSL ya realizó un parche de seguridad, aún existen dudas de si estos sitios están o no expuestos. Por lo mismo, Alejandro Hevia, del Departamento de Ciencias de la Computación de la U. de Chile y director del CLCERT, dice que la recomendación para los usuarios es “no conectarse por un par de días al banco hasta que lo arreglen, para evitar que la contraseña o datos privados lleguen a malas manos”.

Información confidencial

La vulnerabilidad, explica, ocurre cuando se envía información confidencial, por ejemplo, en sitios de bancos o de compras, que implementan un sistema de encriptación, y una de las librerías más usadas es el sistema OpenSSL. “Había un error de protocolo que revelaba que la persona aún estaba conectada y eso permitía a usuarios maliciosos conectarse al servidor y mandar un mensaje que enviaba de vuelta información de la memoria del servidor, como claves, con lo que se podía hacer pasar por el servidor, monitorear las nuevas conexiones y ver todo lo que la persona enviaba”, aclara.

También se podía obtener información privada o documentos.

El parche, es decir, la corrección al programa, se distribuye de forma automática, dice Hevia. Y los dueños de servidores deben aplicarlo. “Este error existía desde hace dos años y no se sabe si fue usado, pero ahora que se sabe, va a ser usado. Es fácil testear desde fuera si un servidor está vulnerable”. Por eso, recomienda que todas las empresas instalen el parche lo antes posible.

Y aunque el experto reconoce que cambiar contraseñas puede parecer una buena idea, no hay ninguna garantía, porque el hackeo pudo haber pasado hace un año, y una medida así, puede resultar algo tardía.

Tesorería y bancos niegan peligro

“En particular, estos ataques no han llegado a Chile”, aseguraron, a través de un comunicado, en la Asociación de Bancos. Agregan que el sector bancario tiene un sistema de alerta temprana de ataques hackers y otros delitos cibernéticos, que detecta la presencia de amenazas y mitiga la probabilidad de ataques masivos. “No obstante, el problema estaría afectando, principalmente, a aquellos sitios de información, y en el caso de otros sitios transaccionales, como los bancos, existen medidas preventivas adicionales”, dice el documento.En la Tesorería General, en tanto, indican que su equipo técnico y el proveedor de servicio han revisado la situación: “Para tranquilidad de los usuarios, no estamos expuestos a la vulnerabilidad. Por lo anterior y por razones de seguridad, no haremos mayores comentarios”. Consultado por La Tercera, el Servicio de Impuestos Internos no se refirió al tema.