Heartbleed es una vulnerabilidad grave en la popular biblioteca de software criptográfico OpenSSL que existe debido a un error en su implementación del protocolo Transport Layer Security (TLS). OpenSSL se utiliza para proporcionar y verificar las conexiones seguras entre servidores web y clientes.
La falla de seguridad fue descubierta por Neel Mehta de Google Security y un equipo de investigadores de seguridad de Codenomicon, y divulgada públicamente el 7 de abril de 2014. La vulnerabilidad puede permitir potencialmente el robo o la falsificación de información sensible, confidencial o financiera si se utiliza. en un sitio web vulnerable. La vulnerabilidad recibió el nombre de "heartbleed" debido a que afecta la función "heartbeat" de OpenSSL, que los clientes y, más a menudo, los servidores utilizan para mantener viva una conexión sin tráfico infinito.
Heartbleed es una característica de OpenSSL que se introdujo en la versión 1.0.01 en marzo de 2012 y no estuvo expuesta hasta abril de 2014. Una vez que se conecta un servidor vulnerable, la solicitud Heartbeat puede ser enviada como parte del protocolo o por un atacante. . La solicitud incluye una carga útil arbitraria de datos de hasta 64 kb de tamaño y se verifica con una respuesta si los datos se han recibido del servidor. La falla Heartbleed permite a un atacante enviar una solicitud de latido con un tamaño de carga mayor que el especificado en la solicitud. Al hacerlo, la solicitud maliciosa no será verificada con una respuesta, sino que el servidor desbordará su memoria asignada y enviará de vuelta hasta 64 KB de memoria aleatoria del servidor.
La vulnerabilidad se volvió extremadamente extendida debido a su capacidad para explotar servidores web populares que utilizan OpenSSL para ofrecer conexiones web cifradas. Desde el anuncio, muchas empresas importantes, incluidas Google, Github, Kayak, Yahoo y Dropbox, han revelado que se han visto afectadas por el error.
El error Heartbleed ahora está parcheado en muchos sitios web y un usuario típico debería estar seguro y dar un paso adicional para proteger sus cuentas en línea. Esto incluye cambiar las contraseñas que se utilizaron durante posibles momentos de ataque y habilitar la autenticación de dos factores cuando esté disponible. También se anima a los usuarios a mantenerse actualizados con las actualizaciones de seguridad del sitio web y buscar continuamente noticias relacionadas con Heartbleed y otras vulnerabilidades.
