En Mashable publican una excelente tabla resumiendo (con el conocimiento actual) qué servicios se han visto afectados por Heartbleed, la grave vulnerabilidad detectada hace un par de días en OpenSSL, calificada de catastrófica por Schneier, que algo sabe de esto.
La respuesta corta: se recomienda cambiar urgentemente las contraseñas de Google, Facebook, Twitter, Yahoo, algunos servicios de Amazon (AWS), Dropbox, y una miríada de otros servicios.
En referencia a esta actualización de contraseñas, las preguntas que me hago son:
- Aunque en ciertos ámbitos más techies no se ha hablado de otra cosa desde hace 2 días, ¿cuántos usuarios normales son conscientes de que se ha descubierto la vulnerabilidad que conocemos como Heartbleed?
- ¿Cuántos son conscientes de que tendrían que estar cambiando ya sus contraseñas?
- ¿Cuántos van a cambiarlas aún siendo conscientes de esto?
Piensen en pesimista si quieren acertar. Probablemente se quedarán cortos, en cualquier caso. Ya sabemos que en temas de seguridad las personas somos el eslabón más débil de la cadena. Este caso no va a ser diferente.
¿Y la seguridad en dos pasos de google o dropbox no aminora el problema para el usuario final?
Sí, pero muchas veces podría no ser suficiente si no se está usando adecuadamente por parte del prestador. Mira este post en el blog de FastMail que descubrí esta mañana gracias a Pere Quintana. Es de hoy mismo, y la verdad es que ante un ataque deliberado como ése, un usuario menos cuidadoso habría visto su cuenta comprometida quién sabe si de forma definitiva…