Archivo para Seguridad en Internet

La vulnerabilidad Heartbleed: Las contraseñas que se deben cambiar hoy mismo

Vulnerabilidad Heartbleed

Un defecto de encriptación llamado Heartbleed ya está siendo considerado una de las mayores amenazas a la seguridad en Internet que se haya visto antes. El error ha afectado a muchos sitios web y servicios populares (de los cuales usted puede utilizar todos los días, como por ejemplo Gmail y Facebook) y podría haber expuesto, sin darse cuenta, la información confidencial de su cuenta (como contraseñas, números de tarjetas de crédito, etc.) en los últimos dos años.

Algunas empresas de Internet que eran vulnerables al error ya han actualizado sus servidores con un parche de seguridad para solucionar el problema . Esto significa que usted tendrá que entrar y cambiar sus contraseñas de inmediato para estos sitios. Incluso eso no es garantía de que su información no haya sido comprometida, pero también hay indicios de que los piratas sabían de la explotación antes de esta semana . Las empresas que están asesorando a los clientes a cambiar sus contraseñas lo están haciendo como medida de precaución .

Enlace a la pagina principal de la imagen en el sitio Flickr

Imagen de Flickr

Aunque cambiar su contraseña con regularidad es siempre una buena práctica , si un sitio o servicio aún no ha corregido el problema , tu información seguirá siendo vulnerable.

Además, si vuelve a utilizar la misma contraseña en varios sitios , y uno de esos sitios era vulnerable , tendrá que cambiar la contraseña en todas partes. Por cierto, no es una buena idea utilizar la misma contraseña en varios sitios.

Redes sociales

Afectada? Hay un parche? Necesita cambiar su contraseña? Qué dijeron ellos?
Facebook No se sabe “Hemos añadido protecciones para la aplicación de Facebook de OpenSSL antes de este problema se dio a conocer públicamente. No hemos detectado ningún signo de actividad de la cuenta sospechosa, pero animamos a la gente a … configurar una contraseña única.”
Instagram “Nuestros equipos de seguridad ha trabajado rápidamente en una solución y no tenemos ninguna evidencia de cuentas que hayan podido ser dañadas. Pero debido a que este evento afectó muchos servicios a través de la web, te recomendamos que actualices tu contraseña en Instagram y otros sitios, sobre todo si se utiliza la misma contraseña en varios sitios “.
LinkedIn No No No “Nosotros no usamos la aplicación OpenSSL en www.linkedin.com o www.slideshare.net. Como resultado, HeartBleed no presenta un riesgo para estas propiedades web.”
Pinterest “Hemos arreglado el problema en Pinterest.com, y no encontramos ninguna evidencia de daño. Hemos enviado correo a aquellos que pudieron ser afectados, e invitamos a cambiar la contraseña.”
Tumblr “No tenemos ninguna evidencia de daño, y como la mayoría de las redes, nuestro equipo tomó medidas inmediatas para solucionar el problema.”
Twitter No No se sabe Twitter escribió que OpenSSL “es ampliamente utilizado en todo el Internet y en Twitter. Hemos sido capaces de determinar que nuestros servidores no se vieron afectados por esta vulnerabilidad. Seguimos monitoreando la situación”. Twitter dijo que aplicaron un parche.

Otras compañías

Afectada? Hay un parche? Necesita cambiar su contraseña? Qué dijeron ellos?
Apple No No No “iOS y OS X nunca usaron el software vulnerable, por lo que los servicios no fueron afectados.”
Amazon No No No “Amazon.com no ha sido afectado.”
Google Sí* “Hemos evaluado la vulnerabilidad y aplicado parches para introducir los servicios de Google.” Search, Gmail, YouTube, Monedero, Play, Aplicaciones y App Engine se vieron afectados; Google Chrome y Chrome OS no se vieron afectados.* Google dijo que los usuarios no tienen que cambiar sus contraseñas, pero debido a la vulnerabilidad anterior, más vale prevenir que curar.
Microsoft No No No Servicios de Microsoft no estaban corriendo OpenSSL.
Yahoo “Tan pronto como nos dimos cuenta de la situación, comenzamos a trabajar para arreglarlo, y estamos trabajando para implementar la solución en el resto de nuestros sitios en estos momentos.” Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr y Tumblr fueron parcheados. Más parches podrían ser aplicados dijo Yahoo.

Email

Afectada? Hay un parche? Necesita cambiar su contraseña? Qué dijeron ellos?
AOL No No No AOL dijo a Mashable que no se estaba ejecutando la versión vulnerable (OpenSSL).
Gmail Yes Yes* “Hemos evaluado la vulnerabilidad y aplicado parches para introducir los servicios de Google.”* Google dijo que los usuarios no tienen que cambiar sus contraseñas, pero debido a la vulnerabilidad anterior, más vale prevenir que curar.
Hotmail / Outlook No No No Servicios de Microsoft no estaban corriendo OpenSSL, según LastPass.
Yahoo Mail “Tan pronto como nos dimos cuenta de la cuestión, que comenzamos a trabajar para arreglarlo, y estamos trabajando para implementar la solución en el resto de nuestros sitios en estos momentos”.

Tiendas y comercio

Afectada? Hay un parche? Necesita cambiar su contraseña? Qué dijeron ellos?
Amazon No No No “Amazon.com no se ve afectada.”
Amazon Web Services (for website operators) La mayoría de los servicios no se vieron afectados o Amazon ya estaba en condiciones de aplicar medidas de mitigación. Elastic Load Balancing, Amazon EC2, Amazon Linux AMI, Red Hat Enterprise Linux, Ubuntu, OpsWorks AWS AWS Elastic Beanstalk y Amazon CloudFront se parcharon.
eBay No No No “eBay.com nunca fue vulnerable a este error porque nunca hemos corrido la versión vulnerable de OpenSSL”.
Etsy Yes* Etsy dijo que sólo una pequeña parte de su infraestructura era vulnerable, y ya la han parcheado.
GoDaddy “Hemos estado actualizando los servicios de GoDaddy que utilizan la versión de OpenSSL afectados.”
Groupon No No No “Groupon.com no utiliza ninguna versión de la biblioteca OpenSSL que es susceptible al error Heartbleed.”
Nordstrom No No No “Sitios web de Nordstrom no utilizan cifrado OpenSSL.”
PayPal No No No “Sus detalles de la cuenta de PayPal no fueron expuestos en el pasado y siguen siendo seguros en la actualidad.”
Target No No No “[Nosotros] lanzamos una revisión exhaustiva de todos los aspectos de recubrimiento exterior de Target.com … y actualmente no creemos que ningún aspecto de recubrimiento exterior de nuestros sitios se vea afectados por la vulnerabilidad de OpenSSL.”
Walmart No No No “Nosotros no usamos la tecnología OpenSSLpor lo que no hemos sido afectados por esta violación particular.”

Videos, Fotos, Juegos y Entretenimiento

Afectada? Hay un parche? Necesita cambiar su contraseña? Qué dijeron ellos?
Flickr “Tan pronto como nos dimos cuenta de la cuestión, comenzamos a trabajar para arreglarlo … y estamos trabajando para implementar la solución en el resto de nuestros sitios en estos momentos.”
Hulu No No No No comentó nada
Minecraft “Nos vimos obligados a suspender temporalmente todos nuestros servicios …. El exploit ha sido arreglado. No podemos garantizar que su información no se vea comprometida.”
Netflix “Al igual que muchas empresas, tomamos acción inmediata para evaluar la vulnerabilidad y hacer frente a ella. No tenemos conocimiento de ningún impacto en el cliente. Es una buena práctica cambiar las contraseñas cada cierto tiempo, ahora sería un buen momento para pensar en hacerlo. “
SoundCloud SoundCloud hizo hincapié en que no había indicios de algún tipo de vulnerabilidad y que las acciones de la compañía eran simplemente precaución.
YouTube Yes Yes* “Hemos evaluado la vulnerabilidad SSL y aplicado parches para introducir los servicios de Google.” * Google dijo que los usuarios no tienen que cambiar sus contraseñas, pero debido a la vulnerabilidad anterior, más vale prevenir que curar.

Financiero

Todos los bancos con los que fueron contactados(véase más adelante) dijeron que no se vieron afectados por Heartbleed, pero los reguladores de Estados Unidos han advertido a los bancos para parchear sus sistemas.

Afectada? Hay un parche? Necesita cambiar su contraseña? Qué dijeron ellos?
American Express No No No “No hubo ningún tipo de vulnerabilidd de todos los datos de los clientes. Aunque no requerimos a los clientes a tomar ninguna acción específica en este momento, es una buena práctica de seguridad para actualizar periódicamente las contraseñas de Internet.”
Bank of America No No No “La mayoría de nuestras plataformas NO usa OpenSSL, y los que lo hacen, nos han confirmado que no hay ninguna vulnerabilidad.”
Barclays No No No No comentó nada
Capital One No No No “Capital One utiliza una versión de cifrado que no es vulnerable a Heartbleed.”
Chase No No No “Estos sitios no utilizan el software de cifrado que es vulnerable al error Heartbleed.”
Citigroup No No No Citigroup no utiliza Open SSL de cara al cliente de banca minorista y los sitios de tarjetas de crédito y aplicaciones móviles”
E*Trade No No No E*Trade sigue investigando.
Fidelity No No No “Tenemos varios niveles de seguridad en el lugar para proteger a nuestros sitios y servicios al cliente.”
PNC No No No “Hemos probado nuestros sistemas bancarios en línea y móviles y confirmamos que no son vulnerables al error Heartbleed.”
Schwab No No No “Los esfuerzos hasta la fecha no han detectado esta vulnerabilidad en Schwab.com o cualquiera de nuestros canales en línea.”
Scottrade No No No “Scottrade no utiliza la versión afectada de OpenSSL en cualquiera de nuestras plataformas de cara al cliente.”
TD Ameritrade No No No TD Ameritrade “no utiliza las versiones de OpenSSL que son vulnerables”.
TD Bank No No No “Estamos actualmente tomando las precauciones y medidas para proteger los datos del cliente de esta amenaza y no tienen ninguna razón para creer que cualquier dato de clientes se ha visto comprometida en el pasado.”
T. Rowe Price No No No “Los sitios web de T. Rowe Price no son ni eran vulnerables al error de Heartbleed”.
U.S. Bank No No No “No utilizamos OpenSSL para el cliente, canales de banca por Internet, por lo que los datos de clientes del Banco EE.UU. no están en riesgo.”
Vanguard No No No “No estamos utilizando, y no hemos utilizado, la versión vulnerable de OpenSSL.”
Wells Fargo No No No No hay razón proporcionada.

Gobiernos e impuestos

Afectada? Hay un parche? Necesita cambiar su contraseña? Qué dijeron ellos?
1040.com No No No “No somos vulnerables al error Heartbleed, ya que no utilizamos OpenSSL.”
FileYour Taxes.com No No No “Continuamente parcheamos nuestros servidores para mantenerlos actualizados. Sin embargo, la versión que utilizamos no se vio afectada por el problema, por lo que no se hizo nada.”
H&R Block No No No “Estamos revisando nuestros sistemas y en la actualidad no hemos encontrado ningún riesgo para los datos de los clientes de este tema”.
Healthcare .gov No No No “Cuentas de los consumidores Healthcare.gov no se ven afectados por esta vulnerabilidad.”
Intuit (TurboTax) No No No Turbotax escribió que “los ingenieros han comprobado TurboTax no se ve afectada por Heartbleed.” La compañía ha emitido nuevos certificados de todos modos, y dijo que no es “proactiva” a asesorar a los usuarios cambiar sus contraseñas.
IRS No No No “El IRS continúa aceptando las declaraciones de impuestos de forma normal … y los sistemas de continuar operando y no se ve afectado por este error. No tenemos conocimiento de las vulnerabilidades de seguridad relacionadas con esta situación.”
TaxACT No No No “Los clientes pueden actualizar sus contraseñas en cualquier momento, aunque no estamos asesorando activamente a hacerlo en este momento.”
USAA USAA dijo que “ya ha tomado medidas para ayudar a prevenir una fuga de datos y aplicado un parche”

Otros

Afectada? Hay un parche? Necesita cambiar su contraseña? Qué dijeron ellos?
Box “Estamos actualmente trabajando con nuestros clientes para restablecer las contraseñas de forma proactiva y también están reeditando nuevos certificados SSL para mayor protección.”
Dropbox Twitter: “Hemos implementamos todos nuestros servicios el usuario de revestimiento y seguiremos trabajando para asegurar de que su material es siempre seguro.”
Evernote No No No “El servicio de Evernote, aplicaciones de Evernote, y sitios web de Evernote … todos no usan las implementaciones no OpenSSL de SSL / TLS para cifrar las comunicaciones de red.”
GitHub GitHub dijo que ha parcheado todos sus sistemas, los nuevos certificados SSL han sido desplegados y revocó las antiguas. GitHub está pidiendo a todos los usuarios, cambiar la contraseña, activar la autenticación de dos factores y “revocar y volver a crear el acceso personal y tokens de aplicación.”
IFTTT IFTTT envió correo electrónico a todos sus usuarios y les cerrará la sesión, lo que llevó a cambiar su contraseña en el sitio.
OKCupid “Nosotros, como la mayoría de la Internet, quedamos impresionados de que un error tan grave ha existido durante tanto tiempo y era tan generalizada.”
Spark Networks (JDate, Christian Mingle) No No No Sus Sitios no usan OpenSSL.
SpiderOak No SpiderOak dijo que ha parcheado sus servidores, pero el cliente de escritorio no utiliza una versión vulnerable de OpenSSL, por lo que “los clientes no tienen que realizar ninguna acción especial.”
Wikipedia (if you have an account) “Le recomendamos cambiar su contraseña como medida de precaución estándar, pero no tenemos la intención en la actualidad para hacer cumplir un cambio de contraseña para todos los usuarios.”
WordPress No se sabe No se sabe No se sabe Cuando alguien le preguntó a Matt Mullenweg, desarrollador fundador de WordPress, cuando se reemplazarán los certificados SSL del sitio y cuando los usuarios serán capaces de restablecer las contraseñas, simplemente respondió: “pronto”.
Wunderlist “Recomendamos encarecidamente que restablecer su contraseña de Wunderlist.”

Administrador de Contraseñas

Afectada? Hay un parche? Necesita cambiar su contraseña? Qué dijeron ellos?
1Password No No No 1Password, dijo en un blog que su tecnología “no se construye sobre SSL / TLS en general, y no en OpenSSL en particular.” Así, los usuarios no necesitan cambiar su contraseña maestra.
Dashlane No Dashlane dijo en un blog que las cuentas de correos de los usuarios no se vieron afectados y la contraseña maestra es segura, ya que nunca se transmite. El sitio hace uso de OpenSSL al sincronizar datos con sus servidores, pero Dashlane dijo que ha parcheado el fallo, emitido nuevos certificados SSL y revocó las anteriores.
LastPass No “Aunque LastPass emplea OpenSSL, tenemos múltiples capas de cifrado para proteger a nuestros usuarios y nunca tener acceso a las claves de cifrado.” Los usuarios no necesitan cambiar sus contraseñas maestras porque nunca son enviados al servidor. Pero las contraseñas de otros sitios almacenados en LastPass que tenga, deben ser cambiados.

imagen-solicitud-comentarios