Los 7 fallos de seguridad más espantosos de 2014

A pesar de mi amor por la noche de los muertos, octubre no va solo de Halloween y castañas: también es el mes de la ciberseguridad y este año ya hemos tenido suficientes sustos, pirateos, vulnerabilidades y fallos de ciberseguridad. Pero como el espíritu de Halloween me encanta, he pensado que no había mejor forma de entremezclar los eventos más importantes de octubre que recordar los fallos de seguridad más graves del año y descubrir si ya han sido arreglados o no.

Heartbleed

Este fue seguramente uno de los mayores problemas de seguridad del año, expuso un gran fallo que afectaba a la mayoría de las webs. El error se encontró en la biblioteca de criptografía de OpenSSL, un software libre que protege los nombres de usuario y las contraseñas cuando se navega por Internet. Esto significa que si había piratas espiando una conexión potencialmente afectada (o sea, que no estaba cifrada como es debido) podían tener acceso a tu nombre de usuario y contraseña. Y lo peor de todo no es que el 66 % de las webs usaban (y todavía usan) OpenSSL, sino que durante dos años nadie detectó el fallo. Lo que significa que los hackers podrían haber estado recopilando nombres y contraseñas desde hace tiempo.

Heartbleed

Desde que se descubrió en abril, muchos de los sitios afectados han corregido el error y han vuelto a la seguridad habitual (y relativa) de sus webs.

Snapchat

Aunque la aplicación misma fue hackeada a principios de año y más de 4 millones de nombres de usuario y números de teléfono salieron a la luz, los usuarios de Snapchat estuvieron más en riesgo cuando una popular web de terceros, Snapsaved, fue atacada. El sitio, tal y como indica su nombre, permite a los usuarios de Snapchat guardar las
fotos y los vídeos enviados. Los piratas publicaron más de 200.000 imágenes y vídeos en el foro de mensajes anónimos de 4chan a principios de este mes.

Snapchat Troll

La naturaleza de las fotos que típicamente se envían por Snapchat supuso un riesgo, especialmente porque había fotos controvertidas de menores. Snapsaved.com se cerró y 4chan eliminó las imágenes, pero esto no significa que estés 100 % seguro. Snapsaved y otras aplicaciones similares no autorizadas usan una interfaz de programación de aplicaciones (IPA) inversa y abierta al público para interceptar y guardar las fotos. Es mejor no usar aplicaciones de terceros de Snapchat (y el inseguro Snapchat) si no quieres que se expongan tus datos.

iCloud

Esta filtración llegó a las noticias a causa de las famosas contra las que se perpetró el
ataque. Y el fallo de seguridad de iCloud en setiembre ya fue suficiente para asustar a los usuarios. La filtración no se atribuyó a una vulnerabilidad en sí, sino a que los piratas encontraron un agujero en el sistema de funcionamiento de iCloud que se lo ponía bastante
fácil –supuestamente un software de terceros– para acceder a las copias de seguridad de iCloud de famosas. Lo peor es que todo esto tenía el potencial para que cualquiera accediera a fotos sensitivas almacenadas en un dispositivo iOS. Se dijo que la falta de verificación en dos pasos había sido un punto débil del sistema de iCloud.

iCloud

Desde entonces, Apple ha realizado grandes cambios en los servicios de almacenamiento del nuevo iOS 8. Ahora se envía un correo electrónico si se cree que alguien puede haber accedido a tu cuenta y se ha conseguido que los piratas lo tengan más difícil. La verificación en dos pasos es ahora estándar y Apple te pide que escribas contraseñas específicas para
aplicaciones que no admiten este tipo de autenticación.

eBay

En mayo, eBay anunció que se había hackeado su web por un fallo ocurrido meses antes de detectarse. Los piratas usaron una cuenta de un trabajador para acceder a información. Esta información no era de tipo financiero, pero contenía direcciones, correos electrónicos, contraseñas y fechas de nacimiento de usuarios. Por suerte, el compañero de pagos de eBay,
PayPal no fue atacado, algo que podría haber sido muy dañino.

Ebay hack

eBay aseguró que no había detectado más actividades fraudulentas en los meses anteriores al fallo, pero avisó a los 145 millones de afectados para que cambiasen la contraseña.

Internet Explorer

Un cuarto del mercado de navegadores de Internet quedó afectado en abril cuando Microsoft anunció una vulnerabilidad crítica en las versiones de la seis a la once de Internet Explorer. De hecho, Microsoft consideró el fallo tan grave que creó una actualización de seguridad a pesar de haber dejado de lado el antiguo sistema operativo unas semanas antes.

Internet Explorer

La vulnerabilidad básicamente dejó a los usuarios expuestos y daba a los hackers los mismos derechos sobre un PC que el usuario mismo. Además, les permitía el acceso y la instalación de malware. Por suerte, el fallo se arregló unos días después de su detección.

Adobe Flash

Adobe creó una actualización de emergencia de Flash a principios de verano tras descubrir un problema que hacía que las cookies de los navegadores fuesen vulnerables. Las cookies almacenan información de navegación para poder ir más rápido. Por ejemplo, guardan los
detalles de inicio de sesión para que no los tengas que repetir cada vez que cambias de página. El fallo permitía que este tipo de información fuese fácil de interceptar y daba la opción a los piratas hacerse pasar por otros usuarios.

Adobe Flash

Como que Flash es una parte esencial de miles de webs, incluyendo YouTube, Google y Tumblr, el problema puso en riesgo a mucha gente. Por suerte, todo se arregló rápidamente y sin incidentes a gran escala.

Shellshock Bash

El que tenía números de ser el mayor fallo de seguridad y el más aterrador de todos fue Shellshock Bash, que ocurrió a finales del mes pasado. Es un problema en los sistemas de Mac OS X, Linux y Unix y da a los hackers el potencial de ejecutar comandos en ordenadores,
dispositivos y sitios web de forma remota.

Shellshock Bash

Bash es como un intérprete que lleva los comandos a cualquier sitio desde portátiles, routers y webs, con lo que el error de Shellshock podía poner en riesgo cientos de millones de dispositivos. Después del descubrimiento, los piratas empezaron a probar qué sitios eran vulnerables. Muchas compañías, incluyendo Apple, corrigió el fallo rápidamente, pero aún puede afectar a muchos servidores web.

Tranquilidad. Seguramente no tengas problemas, ya que las grandes compañías de software han arreglado el error. Sin embargo, puedes tomar ciertas precauciones como actualizar los ordenadores y dispositivos.

Que no cunda el pánico

Parece que los fallos de seguridad van y vienen como si nada estos días, pero aunque muchos de estos incidentes estén fuera de control, hay pequeñas cosas que puedes hacer
para protegerte.

Por ejemplo, lo más fácil es usar gestores de contraseñas para asegurarte de que son únicas y seguras. Usa la verificación en dos pasos allá donde puedas ya que ofrece más garantías, ten el software siempre actualizado a la última versión –que normalmente incluye todos los parches de seguridad que se hayan tenido que añadir– y siempre que puedas, no utilices aplicaciones de terceros ni servicios con condiciones de privacidad turbias o términos de servicio oscuros.

Artículos relacionados:

7 consejos de seguridad para acceder a tu banco desde el teléfono

¿Qué software elegir para gestionar las contraseñas?

Tres consejos para sentirte seguro cuando compras en Internet

Sígueme en Twitter @suzieblaszQwicz

Artículo original adaptado del inglés.

Cargando comentarios