Se ha detectado una vulnerabilidad crítica en el paquete de seguridad OpenSSL que afecta a una ingente cantidad de servidores en Internet. Esta vulnerabilidad permite la sustracción de información protegida, en circunstancias normales, a través de la encriptación SSL/TLS usada para garantizar las comunicaciones en Internet. SSL/TLS ofrece seguridad y privacidad a las aplicaciones de internet tales como web, mensajería instantánea y algunos servicios de VPNs.

El bug Heartbleed permite a un atacante leer la memoria de los sistemas que ejecuten una versión vulnerable de la librería OpenSSL. Las claves privadas usadas para la autenticación y encriptación del tráfico así como los nombre de usuario y contraseñas pueden ser robadas directamente de los servidores.

¿Qué significa todo esto? pues sencillamente que cualquier servidor que utilice las librerías OpenSSL para autenticar y cifrar está expuesto a sufrir un ataque. Por ello es de vital importancia que se actualice la librería OpenSSL a la mayor brevedad posible. Si dispones de un servidor web al que accedes a través de HTTPs puedes verificar si está expuesto a esta vulnerabilidad aquí.

Sin embargo, a pesar del parche es importante tener en cuenta que las claves de nuestro servidor ya han podido ser robadas. Por lo que nos encontramos ante una verdadera amenaza ya que es literalmente imposible detectar las intrusiones por lo que es difícil determinar el verdadero alcance de esta vulnerabilidad.

OpenSSL es el paquete por excelencia de código abierto para la codificación de de servidores apache y nginx los cuales conforman más de la mitad de los servidores web publicados en Internet.

Fuente: Heartbleed Bug web