BOSTON, EU.- Una falla recientemente descubierta en tecnología muy usada para la encriptación en la web ha permitido que datos de muchas páginas de internet mundiales importantes quedaran vulnerables al robo por parte de hackers, en lo que los expertos dicen es una de las brechas de seguridad más graves de los últimos años.
El hallazgo de la llamada vulnerabilidad "Heartbleed" por parte de investigadores de Google y la pequeña firma de seguridad Codenomicon llevó al Departamento de Seguridad del Gobierno de Estados Unidos a alertar a las empresas el martes que revisaran sus servidores para comprobar si estaban usando versiones vulnerables de un software conocido como OpenSSL.
Las autoridades añadieron que ya hay actualizaciones disponibles para solucionar la vulnerabilidad de OpenSSL, que podría permitir a agresores remotos acceder a datos delicados como contraseñas y claves secretas que pueden decodificar el tráfico en su recorrido por internet.
"Hemos probado algunos de nuestros propios servicios desde la perspectiva del agresor. Nos atacamos a nosotros mismos desde fuera, sin dejar rastro", dijo Codenomicon en una web creada para proporcionar información sobre la amenaza (heartbleed.com).
Expertos en seguridad informática advirtieron que eso significa que las víctimas no pueden establecer si se ha tenido acceso a sus datos, lo que es preocupante porque el "gusano" existe desde hace aproximadamente dos años.
"Si un sitio web es vulnerable, yo podría ver cosas como la contraseña, la información bancaria y los datos sanitarios, que uno tiene la impresión de que ha estado mandando correctamente a su web", dijo Michael Coates, director de seguridad de producto de Shape Security.
Chris Eng, vicepresidente de investigación de la firma de seguridad de software Veracode, dijo que estima que centenares de miles de servidores web y de correo electrónico en todo el mundo tienen que ser emparchados lo antes posible para protegerlos de ataques de hackers que se aprovechan de la vulnerabilidad ahora que se ha hecho pública.
El sitio web de tecnología Ars Technica informó que el investigador de seguridad Mark Loman pudo extraer datos de servidores del correo de Yahoo usando una herramienta gratuita.
Un portavoz de Yahoo confirmó que el correo de Yahoo era vulnerable a un ataque, pero dijo que había sido emparchado junto con otros sitios principales de Yahoo, como los de Búsqueda, Finanzas, Deportes, Flickr y Tumblr.