En días pasados, la comunidad cibernética se vió sacudida por la noticia de la existencia de una vulnerabilidad grave en la extensión TLS HeartBet de la librería OpenSSL y que afecta tanto a servidores como clientes que utilicen dicha librería.

En resumen, esta vulnerabilidad permite a un atacante acceder a la memoria de 64Kb de SSL, con lo cual, puede apropiarse de la información contenida en dicho buffer de memoria (clave de encriptación, información, etc.).

Vale destacar que el conocimiento de la existencia de este fallo provocó que muchos proveedores de servicios tuvieran que parchear rápidamente la librería OpenSSL instalada en sus servidores, sus claves de cifrado y, en varios casos, obligar a sus usuarios a cambiar sus contraseñas ya que toda esa información pudo estar comprometida por mucho tiempo (se dice que si bien fue descubierta hace poco, la vulnerabilidad existe desde hace 2 años).

Ahora bien, en lo que a los usuarios de Second Life respecta, podemos decir que debemos quedarnos relativamente tranquilos ya que Linden Lab utiliza en sus servidores una versión de OpenSSL no afectada por dicha vulnerabilidad, no obstante, como ellos mismos aclaran en su blog oficial, algunos servicios que proveen y están alojados en la nube (por ejemplo, el de perfiles -my.secondlife.com-) pudieron estar afectados y, por ende, aconseja a los usuarios que hayan utilizado estos servicios que, por precación, cambien sus contraseñas sin falta. Asimismo, si utilizan la misma contraseña en Second Life y otros sitios que pudieron estar afectados (yahoo, gmail, outllok, facebook, twitter, etc.) también se aconseja cambiar la contraseña de Second Life ya que estos otros servicios si estuvieron comprometidos en su seguridad.

En lo personal debo decir que, paranoias al margen, este fallo no se debe tomar a la ligera y nos ha obligado a todos los administradores de servidores a trabajar horas extras y en exceso para corregirlo y dejar a nuestros servidores seguros y poder dormir tranquilamente.

SaludOS/2