Cambie la contraseña sólo después de que OpenSSL haya sido parchado.
La difusión de la vulnerabilidad Heartbleed en OpenSSL puede estar afectando al menos a medio millón de sitios web, que utilizan el programa para el cifrado de datos que transmiten por la web usando HTTPS. Por ejemplo cuentas de usuario, contraseñas, datos de tarjetas bancarias y las operaciones que se realizan con ellas, datos personales, entre otros.
Muchos sitios web ya han empezado a alertar a los usuarios. Aunque dicen no haber sido afectados, comunican que OpenSSL ha sido parchado para corregir la vulnerabilidad e invitan al usuario a cambiar la contraseña de acceso.
La vulnerabilidad fue conocida apenas en esta semana pero existe desde hace más de dos años. El riesgo existe desde entonces, junto con la amenaza de los atacantes. Ahora que se ha difundido los riesgos aumentan, por lo que es recomendable tomar sus precauciones si se tiene que utilizar algún sitio web con HTTPS. Evitar por supuesto las invitaciones recibidas para ello, vía el correo electrónico, chat, SMS. Los estafadores están al pendiente para explotar la vulnerabilidad.
No todos los sitios web que usan HTTPS han sido afectados. Solamente aquellos que usan OpenSSL. Es conveniente pues que si usted utiliza alguno de estos sitios pregunte al administrador si ha sido afectado por la vulnerabilidad Heartbleed y si ya han parchado OpenSSL. Y entonces cambiar la contraseña de acceso tan pronto haya sido actualizado OpenSSL a la versión no vulnerable.
Muchos sitios web usan OpenSSL. En un principio solamente era usado por las tiendas comerciales y los bancos para la protección de las transacciones, pero recientemente HTTPS ha estado siendo utilizado también en redes sociales, correo electrónico, chat, entre otros servicios de Internet, para proteger la privacidad de las personas.
Para confirmar si determinado sitio web es vulnerable a Heartbleed puede utilizar el servicio en linea de Critical Watch, Qualys (analiza la configuración del servidor web SSL), LastPass, Filippo.io, o las extensiones Chromebleed para el navegador Chrome o FoxBleed para Firefox. Beyondtrust ofrece, además del análisis, una prueba gratis de 90 días de BeyondSaaS, un analizador de vulnerabilidades basado en la nube.
Es importante resaltar que el cambio de la contraseña debe hacerse solamente después de saber que el sitio vulnerable ya ha sido parchado. Cambiarla sin que OpenSSL haya sido parchado no elimina el riesgo, ya que la vulnerabilidad sigue y la contraseña puede ser conocida por un atacante.
Al cambiar la contraseña cuide que la nueva sea una contraseña fuerte y use una contraseña distinta por cada sitio web que utilice.