Imagen: Cloudfare / Gizmodo.

Un peque√Īo bug en el c√≥digo de Cloudfare ha ocasionado que una enorme cantidad de datos (incluyendo contrase√Īas, datos personales, mensajes y m√°s) se filtrara en Internet. Si todav√≠a no has escuchado acerca de una nueva vulnerabilidad llamada CloudBleed, contin√ļa leyendo. Esto es algo grave.

Comencemos con las buenas noticias: Cloudfare, una de las compa√Ī√≠as de seguridad de Internet m√°s grandes del mundo, solucion√≥ r√°pidamente el problema cuando Tavis Ormandy, investigador de seguridad en Google, le notific√≥ acerca del descubrimiento de esta vulnerabilidad.

La mala noticia es que todas las p√°ginas web que utilizan los servicios de Cloudfare llevan filtrando datos e informaci√≥n desde hace meses. La compa√Ī√≠a asegura que las primeras filtraciones se llevaron a cabo en septiembre de 2016, y se desconoce si alg√ļn grupo de hackers encontr√≥ la vulnerabilidad y se ha aprovechado de ella antes de que lo solucionaran. Entre los clientes de Cloudfare se encuentran compa√Ī√≠as tan grandes como Uber, OkCupid, 1Password y FitBit. Esto quiere decir que una tonelada de datos confidenciales podr√≠an haber sido comprometidos.

Al igual que sucede con cualquier vulnerabilidad de seguridad importante, pasar√° mucho tiempo antes de que conozcamos el nivel de destrucci√≥n y caos ocasionado por CloudBleed. Por ahora, lo √ļnico que puedes hacer es cambiar todas tus contrase√Īas de inmediato y activar la verificaci√≥n en dos pasos en todas las cuentas que puedas.

Advertisement

¬ŅQu√© es Cloudfare?

Es posible que nunca hayas escuchado el nombre de Cloudfare, pero la tecnolog√≠a desarrollada por la compa√Ī√≠a es utilizada por much√≠simas de tus p√°ginas web favoritas. Cloudfare se considera a s√≠ misma como una ‚Äúcompa√Ī√≠a de seguridad y rendimiento web‚ÄĚ. Originalmente eran los responsables de una aplicaci√≥n dedicada a hacer seguimiento al spam, pero ahora ofrecen una gran variedad de productos para p√°ginas web, incluyendo un servicio para mejorar el rendimiento, DNS y otros dedicados a la protecci√≥n contra ataques DDoS (denegaci√≥n de servicio).

El hecho de que Cloudfare sea una compa√Ī√≠a dedica da a la seguridad hace que esta vulnerabilidad sea ir√≥nica. Despu√©s de todo, un sinf√≠n de compa√Ī√≠as le pagan a Cloudfare para proteger sus datos. CloudBleed hizo todo lo contrario.

Advertisement

Tavis Ormandy anunció:

‚ÄúHe informado a Cloudfare sobre mi trabajo. Encontr√© mensajes privados de p√°ginas web de citas populares, mensajes de una plataforma de chat conocida, datos de servicios para gestionar contrase√Īas, datos de usuarios de sitios para adultos, reservaciones en hoteles y m√°s cosas.

Estamos hablando de solicitudes detalladas de HTTPS, direcciones IP de clientes, cookies, contrase√Īas, datos... todo.‚ÄĚ

Advertisement

Ormandy también dijo que la vulnerabilidad CoudBleed filtró los datos de 3.438 dominios individuales durante apenas cinco días en el mes de febrero.

¬ŅC√≥mo funciona CloudBleed?

CloudBleed es un fallo muy interesante porque se basa en solamente una entrada en el c√≥digo de Cloudfare. Se sospecha que se trata de un error de c√≥digo, por lo que hemos contactado a la compa√Ī√≠a para conocer sus declaraciones oficiales acerca de lo que sucedi√≥. Tomando en cuenta lo que se ha reportado hasta ahora, parece que CloudBleed funciona de manera similar que como funcionaba Heartbleed, filtrando informaci√≥n durante ciertos procesos.

Advertisement

También se sospecha que CloudBleed podría afectar a tantos usuarios como lo hizo Heartbleed en su momento, dado que entre las víctimas se encuentran varios servicios de seguridad utilizados por muchas páginas web.

Seg√ļn un articulo en el blog de Cloudfare, el problema tiene que ver con la decisi√≥n de la compa√Ī√≠a de usar una nueva herramienta de HTML llamada ‚Äúcf‚Äďhtml‚ÄĚ. Este tipo de herramientas sirve para analizar el c√≥digo y obtener informaci√≥n relevante que busque la compa√Ī√≠a, lo cual permite que sea m√°s sencillo modificar ese c√≥digo cuando se necesita.

Advertisement

Cloudfare se encontr√≥ con algunos problemas al formatear el c√≥digo fuente de cf‚Äďhtml. Un error en el c√≥digo cre√≥ algo llamado una ‚Äúvulnerabilidad de saturaci√≥n de b√ļfer‚ÄĚ (el error ten√≠a que ver con la aparici√≥n de un ‚Äú==‚ÄĚ en el c√≥digo en lugar de un ‚Äú>=‚ÄĚ). Esto significa que cuando el software escrib√≠a datos en el b√ļfer (una cantidad de espacio limitada para datos temporales) tambi√©n escrib√≠a c√≥digo en otro sitio (si quieres una explicaci√≥n m√°s t√©cnica, Cloudfare la ofrece en este art√≠culo).

Dicho de otro modo, el software de Cloudfare intentó guardar datos de usuarios en el lugar correcto pero con el tiempo ese lugar se llenó, por lo que el sistema comenzó a almacenar esos datos en otro sitio, incluyendo en páginas web completamente distintas. Estos datos también eran almacenados en la caché de Google y otros sitios, lo que significa que ahora Cloudfare tiene que encontrarlos antes que los hackers.

¬ŅHas sido afectado?

No esta claro qui√©n ha sido afectado hasta ahora. Cloudfare asegura que solo una peque√Īa cantidad de solicitudes tuvo como consecuencia la filtraci√≥n de datos, pero debido a que la vulnerabilidad ha existido durante seis meses nadie sabe realmente cu√°nta informaci√≥n se ha filtrado.

Advertisement

Adem√°s, el hecho de que tantos datos han sido almacenados en la cach√© de otros servicios significa que, aunque Cloudfare corrigi√≥ la vulnerabilidad con una actualizaci√≥n, la compa√Ī√≠a todav√≠a necesita seguir buscando en la web para encontrar todo lo que se filtr√≥. No solo esto, incluso podr√≠an verse afectadas las p√°ginas web que no usan los servicios de Cloudfare pero sus usuarios s√≠.

El experto en seguridad Ryan Lackey ofreci√≥ algunos buenos consejos en un art√≠culo de su blog, y este se√Īor sabe de lo que habla. Su compa√Ī√≠a, llamada CryptoSeal, fue adquirida por Cloudfare en el a√Īo 2014.

‚ÄúCloudfare es responsable de la seguridad de muchos servicios web populares (Uber, FitBit, OKCupid, entre otros). Por esto, en lugar de intentar identificar cu√°les son los servicios que usan Cloudfare, es m√°s prudente aprovechar esta oportunidad para cambiar TODAS las contrase√Īas de TODAS tu cuentas.

Los suuarios tambi√©n deber√≠a cerrar sesi√≥n de todas sus aplicaciones m√≥viles y volver a iniciar sesi√≥n, despu√©s de que cambien las contrase√Īas, adem√°s de activar la verificaci√≥n en dos pasos en donde pueda.‚ÄĚ

Advertisement

Cambiar las contrase√Īas es un proceso bastante tedioso, pero ten en cuenta que deber√≠as hacerlo cada pocos meses. Adem√°s, tambi√©n deber√≠as activar la verificaci√≥n en dos pasos en todas tus apps, dado que es tu primera defensa ante los hackers. Dicho esto, nada es completamente seguro en Internet, y CloudBleed podr√≠a afectar incluso a quienes usan verificaci√≥n en dos pasos.

En resumen, no puedes controlar lo que sucede detrás de las aplicaciones y las páginas que usas diariamente, pero puedes intentar protegerte con diferentes métodos de seguridad y rezar a los dioses de los hackers para que te mantengan a salvo.


Síguenos también en Twitter, Facebook y Flipboard.