Un defecto de encriptación llamado Heartbleed ya está siendo considerado una de las mayores amenazas a la seguridad en Internet que se haya visto antes. El error ha afectado a muchos sitios web y servicios populares (de los cuales usted puede utilizar todos los días, como por ejemplo Gmail y Facebook) y podría haber expuesto, sin darse cuenta, la información confidencial de su cuenta (como contraseñas, números de tarjetas de crédito, etc.) en los últimos dos años.
Algunas empresas de Internet que eran vulnerables al error ya han actualizado sus servidores con un parche de seguridad para solucionar el problema . Esto significa que usted tendrá que entrar y cambiar sus contraseñas de inmediato para estos sitios. Incluso eso no es garantía de que su información no haya sido comprometida, pero también hay indicios de que los piratas sabían de la explotación antes de esta semana . Las empresas que están asesorando a los clientes a cambiar sus contraseñas lo están haciendo como medida de precaución .
Imagen de Flickr
Aunque cambiar su contraseña con regularidad es siempre una buena práctica , si un sitio o servicio aún no ha corregido el problema , tu información seguirá siendo vulnerable.
Además, si vuelve a utilizar la misma contraseña en varios sitios , y uno de esos sitios era vulnerable , tendrá que cambiar la contraseña en todas partes. Por cierto, no es una buena idea utilizar la misma contraseña en varios sitios.
Redes sociales
|
Afectada? |
Hay un parche? |
Necesita cambiar su contraseña? |
Qué dijeron ellos? |
Facebook |
No se sabe |
Sí |
Sí |
«Hemos añadido protecciones para la aplicación de Facebook de OpenSSL antes de este problema se dio a conocer públicamente. No hemos detectado ningún signo de actividad de la cuenta sospechosa, pero animamos a la gente a … configurar una contraseña única.» |
Instagram |
Sí |
Sí |
Sí |
«Nuestros equipos de seguridad ha trabajado rápidamente en una solución y no tenemos ninguna evidencia de cuentas que hayan podido ser dañadas. Pero debido a que este evento afectó muchos servicios a través de la web, te recomendamos que actualices tu contraseña en Instagram y otros sitios, sobre todo si se utiliza la misma contraseña en varios sitios «. |
LinkedIn |
No |
No |
No |
«Nosotros no usamos la aplicación OpenSSL en www.linkedin.com o www.slideshare.net. Como resultado, HeartBleed no presenta un riesgo para estas propiedades web.» |
Pinterest |
Sí |
Sí |
Sí |
«Hemos arreglado el problema en Pinterest.com, y no encontramos ninguna evidencia de daño. Hemos enviado correo a aquellos que pudieron ser afectados, e invitamos a cambiar la contraseña.» |
Tumblr |
Sí |
Sí |
Sí |
«No tenemos ninguna evidencia de daño, y como la mayoría de las redes, nuestro equipo tomó medidas inmediatas para solucionar el problema.» |
Twitter |
No |
Sí |
No se sabe |
Twitter escribió que OpenSSL «es ampliamente utilizado en todo el Internet y en Twitter. Hemos sido capaces de determinar que nuestros servidores no se vieron afectados por esta vulnerabilidad. Seguimos monitoreando la situación». Twitter dijo que aplicaron un parche. |
Otras compañías
|
Afectada? |
Hay un parche? |
Necesita cambiar su contraseña? |
Qué dijeron ellos? |
Apple |
No |
No |
No |
«iOS y OS X nunca usaron el software vulnerable, por lo que los servicios no fueron afectados.» |
Amazon |
No |
No |
No |
«Amazon.com no ha sido afectado.» |
Google |
Sí |
Sí |
Sí* |
«Hemos evaluado la vulnerabilidad y aplicado parches para introducir los servicios de Google.» Search, Gmail, YouTube, Monedero, Play, Aplicaciones y App Engine se vieron afectados; Google Chrome y Chrome OS no se vieron afectados.* Google dijo que los usuarios no tienen que cambiar sus contraseñas, pero debido a la vulnerabilidad anterior, más vale prevenir que curar. |
Microsoft |
No |
No |
No |
Servicios de Microsoft no estaban corriendo OpenSSL. |
Yahoo |
Sí |
Sí |
Sí |
«Tan pronto como nos dimos cuenta de la situación, comenzamos a trabajar para arreglarlo, y estamos trabajando para implementar la solución en el resto de nuestros sitios en estos momentos.» Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr y Tumblr fueron parcheados. Más parches podrían ser aplicados dijo Yahoo. |
Email
|
Afectada? |
Hay un parche? |
Necesita cambiar su contraseña? |
Qué dijeron ellos? |
AOL |
No |
No |
No |
AOL dijo a Mashable que no se estaba ejecutando la versión vulnerable (OpenSSL). |
Gmail |
Sí |
Sí |
Yes Yes* |
«Hemos evaluado la vulnerabilidad y aplicado parches para introducir los servicios de Google.»* Google dijo que los usuarios no tienen que cambiar sus contraseñas, pero debido a la vulnerabilidad anterior, más vale prevenir que curar. |
Hotmail / Outlook |
No |
No |
No |
Servicios de Microsoft no estaban corriendo OpenSSL, según LastPass. |
Yahoo Mail |
Sí |
Sí |
Sí |
«Tan pronto como nos dimos cuenta de la cuestión, que comenzamos a trabajar para arreglarlo, y estamos trabajando para implementar la solución en el resto de nuestros sitios en estos momentos». |
Tiendas y comercio
|
Afectada? |
Hay un parche? |
Necesita cambiar su contraseña? |
Qué dijeron ellos? |
Amazon |
No |
No |
No |
«Amazon.com no se ve afectada.» |
Amazon Web Services (for website operators) |
Sí |
Sí |
Sí |
La mayoría de los servicios no se vieron afectados o Amazon ya estaba en condiciones de aplicar medidas de mitigación. Elastic Load Balancing, Amazon EC2, Amazon Linux AMI, Red Hat Enterprise Linux, Ubuntu, OpsWorks AWS AWS Elastic Beanstalk y Amazon CloudFront se parcharon. |
eBay |
No |
No |
No |
«eBay.com nunca fue vulnerable a este error porque nunca hemos corrido la versión vulnerable de OpenSSL». |
Etsy |
Yes* |
Sí |
Sí |
Etsy dijo que sólo una pequeña parte de su infraestructura era vulnerable, y ya la han parcheado. |
GoDaddy |
Sí |
Sí |
Sí |
«Hemos estado actualizando los servicios de GoDaddy que utilizan la versión de OpenSSL afectados.» |
Groupon |
No |
No |
No |
«Groupon.com no utiliza ninguna versión de la biblioteca OpenSSL que es susceptible al error Heartbleed.» |
Nordstrom |
No |
No |
No |
«Sitios web de Nordstrom no utilizan cifrado OpenSSL.» |
PayPal |
No |
No |
No |
«Sus detalles de la cuenta de PayPal no fueron expuestos en el pasado y siguen siendo seguros en la actualidad.» |
Target |
No |
No |
No |
«[Nosotros] lanzamos una revisión exhaustiva de todos los aspectos de recubrimiento exterior de Target.com … y actualmente no creemos que ningún aspecto de recubrimiento exterior de nuestros sitios se vea afectados por la vulnerabilidad de OpenSSL.» |
Walmart |
No |
No |
No |
«Nosotros no usamos la tecnología OpenSSLpor lo que no hemos sido afectados por esta violación particular.» |
Videos, Fotos, Juegos y Entretenimiento
|
Afectada? |
Hay un parche? |
Necesita cambiar su contraseña? |
Qué dijeron ellos? |
Flickr |
Sí |
Sí |
Sí |
«Tan pronto como nos dimos cuenta de la cuestión, comenzamos a trabajar para arreglarlo … y estamos trabajando para implementar la solución en el resto de nuestros sitios en estos momentos.» |
Hulu |
No |
No |
No |
No comentó nada |
Minecraft |
Sí |
Sí |
Sí |
«Nos vimos obligados a suspender temporalmente todos nuestros servicios …. El exploit ha sido arreglado. No podemos garantizar que su información no se vea comprometida.» |
Netflix |
Sí |
Sí |
Sí |
«Al igual que muchas empresas, tomamos acción inmediata para evaluar la vulnerabilidad y hacer frente a ella. No tenemos conocimiento de ningún impacto en el cliente. Es una buena práctica cambiar las contraseñas cada cierto tiempo, ahora sería un buen momento para pensar en hacerlo. « |
SoundCloud |
Sí |
Sí |
Sí |
SoundCloud hizo hincapié en que no había indicios de algún tipo de vulnerabilidad y que las acciones de la compañía eran simplemente precaución. |
YouTube |
Sí |
Sí |
Yes Yes* |
«Hemos evaluado la vulnerabilidad SSL y aplicado parches para introducir los servicios de Google.» * Google dijo que los usuarios no tienen que cambiar sus contraseñas, pero debido a la vulnerabilidad anterior, más vale prevenir que curar. |
Financiero
Todos los bancos con los que fueron contactados(véase más adelante) dijeron que no se vieron afectados por Heartbleed, pero los reguladores de Estados Unidos han advertido a los bancos para parchear sus sistemas.
|
Afectada? |
Hay un parche? |
Necesita cambiar su contraseña? |
Qué dijeron ellos? |
American Express |
No |
No |
No |
«No hubo ningún tipo de vulnerabilidd de todos los datos de los clientes. Aunque no requerimos a los clientes a tomar ninguna acción específica en este momento, es una buena práctica de seguridad para actualizar periódicamente las contraseñas de Internet.» |
Bank of America |
No |
No |
No |
«La mayoría de nuestras plataformas NO usa OpenSSL, y los que lo hacen, nos han confirmado que no hay ninguna vulnerabilidad.» |
Barclays |
No |
No |
No |
No comentó nada |
Capital One |
No |
No |
No |
«Capital One utiliza una versión de cifrado que no es vulnerable a Heartbleed.» |
Chase |
No |
No |
No |
«Estos sitios no utilizan el software de cifrado que es vulnerable al error Heartbleed.» |
Citigroup |
No |
No |
No |
Citigroup no utiliza Open SSL de cara al cliente de banca minorista y los sitios de tarjetas de crédito y aplicaciones móviles» |
E*Trade |
No |
No |
No |
E*Trade sigue investigando. |
Fidelity |
No |
No |
No |
«Tenemos varios niveles de seguridad en el lugar para proteger a nuestros sitios y servicios al cliente.» |
PNC |
No |
No |
No |
«Hemos probado nuestros sistemas bancarios en línea y móviles y confirmamos que no son vulnerables al error Heartbleed.» |
Schwab |
No |
No |
No |
«Los esfuerzos hasta la fecha no han detectado esta vulnerabilidad en Schwab.com o cualquiera de nuestros canales en línea.» |
Scottrade |
No |
No |
No |
«Scottrade no utiliza la versión afectada de OpenSSL en cualquiera de nuestras plataformas de cara al cliente.» |
TD Ameritrade |
No |
No |
No |
TD Ameritrade «no utiliza las versiones de OpenSSL que son vulnerables». |
TD Bank |
No |
No |
No |
«Estamos actualmente tomando las precauciones y medidas para proteger los datos del cliente de esta amenaza y no tienen ninguna razón para creer que cualquier dato de clientes se ha visto comprometida en el pasado.» |
T. Rowe Price |
No |
No |
No |
«Los sitios web de T. Rowe Price no son ni eran vulnerables al error de Heartbleed». |
U.S. Bank |
No |
No |
No |
«No utilizamos OpenSSL para el cliente, canales de banca por Internet, por lo que los datos de clientes del Banco EE.UU. no están en riesgo.» |
Vanguard |
No |
No |
No |
«No estamos utilizando, y no hemos utilizado, la versión vulnerable de OpenSSL.» |
Wells Fargo |
No |
No |
No |
No hay razón proporcionada. |
Gobiernos e impuestos
|
Afectada? |
Hay un parche? |
Necesita cambiar su contraseña? |
Qué dijeron ellos? |
1040.com |
No |
No |
No |
«No somos vulnerables al error Heartbleed, ya que no utilizamos OpenSSL.» |
FileYour Taxes.com |
No |
No |
No |
«Continuamente parcheamos nuestros servidores para mantenerlos actualizados. Sin embargo, la versión que utilizamos no se vio afectada por el problema, por lo que no se hizo nada.» |
H&R Block |
No |
No |
No |
«Estamos revisando nuestros sistemas y en la actualidad no hemos encontrado ningún riesgo para los datos de los clientes de este tema». |
Healthcare .gov |
No |
No |
No |
«Cuentas de los consumidores Healthcare.gov no se ven afectados por esta vulnerabilidad.» |
Intuit (TurboTax) |
No |
No |
No |
Turbotax escribió que «los ingenieros han comprobado TurboTax no se ve afectada por Heartbleed.» La compañía ha emitido nuevos certificados de todos modos, y dijo que no es «proactiva» a asesorar a los usuarios cambiar sus contraseñas. |
IRS |
No |
No |
No |
«El IRS continúa aceptando las declaraciones de impuestos de forma normal … y los sistemas de continuar operando y no se ve afectado por este error. No tenemos conocimiento de las vulnerabilidades de seguridad relacionadas con esta situación.» |
TaxACT |
No |
No |
No |
«Los clientes pueden actualizar sus contraseñas en cualquier momento, aunque no estamos asesorando activamente a hacerlo en este momento.» |
USAA |
Sí |
Sí |
Sí |
USAA dijo que «ya ha tomado medidas para ayudar a prevenir una fuga de datos y aplicado un parche» |
Otros
|
Afectada? |
Hay un parche? |
Necesita cambiar su contraseña? |
Qué dijeron ellos? |
Box |
Sí |
Sí |
Sí |
«Estamos actualmente trabajando con nuestros clientes para restablecer las contraseñas de forma proactiva y también están reeditando nuevos certificados SSL para mayor protección.» |
Dropbox |
Sí |
Sí |
Sí |
Twitter: «Hemos implementamos todos nuestros servicios el usuario de revestimiento y seguiremos trabajando para asegurar de que su material es siempre seguro.» |
Evernote |
No |
No |
No |
«El servicio de Evernote, aplicaciones de Evernote, y sitios web de Evernote … todos no usan las implementaciones no OpenSSL de SSL / TLS para cifrar las comunicaciones de red.» |
GitHub |
Sí |
Sí |
Sí |
GitHub dijo que ha parcheado todos sus sistemas, los nuevos certificados SSL han sido desplegados y revocó las antiguas. GitHub está pidiendo a todos los usuarios, cambiar la contraseña, activar la autenticación de dos factores y «revocar y volver a crear el acceso personal y tokens de aplicación.» |
IFTTT |
Sí |
Sí |
Sí |
IFTTT envió correo electrónico a todos sus usuarios y les cerrará la sesión, lo que llevó a cambiar su contraseña en el sitio. |
OKCupid |
Sí |
Sí |
Sí |
«Nosotros, como la mayoría de la Internet, quedamos impresionados de que un error tan grave ha existido durante tanto tiempo y era tan generalizada.» |
Spark Networks (JDate, Christian Mingle) |
No |
No |
No |
Sus Sitios no usan OpenSSL. |
SpiderOak |
Sí |
Sí |
No |
SpiderOak dijo que ha parcheado sus servidores, pero el cliente de escritorio no utiliza una versión vulnerable de OpenSSL, por lo que «los clientes no tienen que realizar ninguna acción especial.» |
Wikipedia (if you have an account) |
Sí |
Sí |
Sí |
«Le recomendamos cambiar su contraseña como medida de precaución estándar, pero no tenemos la intención en la actualidad para hacer cumplir un cambio de contraseña para todos los usuarios.» |
WordPress |
No se sabe |
No se sabe |
No se sabe |
Cuando alguien le preguntó a Matt Mullenweg, desarrollador fundador de WordPress, cuando se reemplazarán los certificados SSL del sitio y cuando los usuarios serán capaces de restablecer las contraseñas, simplemente respondió: «pronto». |
Wunderlist |
Sí |
Sí |
Sí |
«Recomendamos encarecidamente que restablecer su contraseña de Wunderlist.» |
Administrador de Contraseñas
|
Afectada? |
Hay un parche? |
Necesita cambiar su contraseña? |
Qué dijeron ellos? |
1Password |
No |
No |
No |
1Password, dijo en un blog que su tecnología «no se construye sobre SSL / TLS en general, y no en OpenSSL en particular.» Así, los usuarios no necesitan cambiar su contraseña maestra. |
Dashlane |
Sí |
Sí |
No |
Dashlane dijo en un blog que las cuentas de correos de los usuarios no se vieron afectados y la contraseña maestra es segura, ya que nunca se transmite. El sitio hace uso de OpenSSL al sincronizar datos con sus servidores, pero Dashlane dijo que ha parcheado el fallo, emitido nuevos certificados SSL y revocó las anteriores. |
LastPass |
Sí |
Sí |
No |
«Aunque LastPass emplea OpenSSL, tenemos múltiples capas de cifrado para proteger a nuestros usuarios y nunca tener acceso a las claves de cifrado.» Los usuarios no necesitan cambiar sus contraseñas maestras porque nunca son enviados al servidor. Pero las contraseñas de otros sitios almacenados en LastPass que tenga, deben ser cambiados. |