Hace unas semanas, Heartbleed, una falla de seguridad que afecta a los servidores basados en OpenSSL fue descubierta, causando conmoción en el ambiente tecnológico mundial (en este post se explica técnicamente en qué consiste). Dos semanas más tarde, un estudiante de sistemas descubrió que algunos home bankings argentinos continúan con este inconveniente, que podría dejar expuestos los datos de ingreso de los usuarios.
“El bug que encontré en el banco, más en el home banking empresarial, afecta a OpenSSL a las versiones 1.0.1 hasta la 1.0.1f“, aseguró a RedUSERS Sebastián Magof, un estudiante de Licenciatura en Sistemas de la Universidad de La Plata, quien descubrió esta vulnerabilidad en varias entidades bancarias argentinas e internacionales. Pero aclaró: “No puedo decir cuáles porque aún no reporté las fallas, así que estaría exponiéndolos a posibles ataques”. [UPDATE 30/04/2014: El banco en cuestión ya solucionó el error según reporta Segu-Info]
“La herramienta que utilicé para saber si la versión de OpenSSL era vulnerable fue www.filippo.io/Heartbleed/, recomendable para quienes deseen testear si un sitio con OpenSSL es vulnerable o no. Una vez que supe que era vulnerable, exploté la falla mediante el modulo openssl_heartbleed.rb de MetaSploit, una herramienta muy conocida y utilizada en el ambiente de la seguridad informática”, se explayó Magof, quien trabaja reportando fallas de manera independiente. Las imágenes citadas a continuación fueron aportadas por Magof para ilustrar la existencia de la vulnerabilidad:
RedUSERS utilizó Filippo.io para analizar los home banking de los principales bancos argentinos, donde al menos dos casos mostraron un alerta como la siguiente:
Con respecto a los posibles daños, el experto señaló que “un cibercriminal podría explotar la falla muy fácilmente, ya que está repleto de papers y tutoriales sobre cómo hacerlo“. Además, mostró su preocupación sobre algunas herramientas “que alguien en el tema podría usar para explotar la vulnerabilidad sin necesidad de muchos conocimientos”.
Finalmente, Magof recomendó a los usuarios cambiar las contraseñas que venían utilizando hasta el momento, mientras que aconsejó a los administradores de sistemas “actualizar a la versión de OpenSSL 1.0.1g, ya que en esta versión ya viene reparada la falla”.
