Lo que las filtraciones de Cloudbleed nos dicen sobre la seguridad en línea

Una cantidad asombrosa de sitios web utilizan proxies inversos y servicios de mitigación de DDoS como Cloudflare (por ejemplo, Reddit) para protegerse de grandes catástrofes y mantener las luces encendidas constantemente. Estos servicios a menudo se comercializan como proveedores de seguridad y mejora del rendimiento.

Sin embargo, en contradicción directa con esto, el 17 de febrero de 2017, un importante fallo en el software de Cloudflare hizo que una cantidad masiva de datos privados de millones de sitios web fuera accesible en cualquier momento. Algunos de estos datos aparecían incluso en copias en caché de sitios web que aparecían en los resultados de búsqueda de Google. Este suceso en particular, que llegó a conocerse como Cloudbleed, ha presentado una valiosa oportunidad para un debate sobre el uso seguro de la tecnología.

¿Qué es todo esto?

Para los no iniciados, Cloudflare es un servicio que actúa como intermediario entre su sitio web y el resto de Internet. Cuando vas a un sitio que utiliza el servicio, en realidad te estás conectando a Cloudflare, que se conecta al sitio y te transmite su resultado. El servicio almacenará en caché algunas de las páginas más visitadas para que el sitio no tenga que responder cada vez que alguien se conecte, reduciendo así el impacto que las grandes cantidades de tráfico tienen en el servidor local. Esto también ayuda a reducir el impacto que los ataques de denegación de servicio distribuidos (DDoS) tienen en su sitio, ya que hay un intermediario que puede frustrar la mayor parte de estos ataques, actuando como una especie de semáforo que deja pasar a los visitantes legítimos y detiene a los bots en su camino. Cloudflare y otros servicios de proxy inverso (como Incapsula y Akamai) a menudo se promocionan como proveedores de seguridad para sitios web.

RELACIONADO:  Algunas feas verdades sobre los exploits de día cero

¿Qué es Cloudbleed?

cloudbleed-privacy

Cloudbleed es un evento en el que se descubrió un error en el software de Cloudflare por un miembro del equipo del Proyecto Cero de Google que descubrió mensajes privados de los principales sitios web, datos del gestor de contraseñas en línea y solicitudes HTTPS completas de varios otros servidores. La respuesta de Cloudflare a las solicitudes de conexión a menudo sobrepasaba su espacio de búfer asignado y presentaba datos de cualquier otro cliente que accediera a sitios web en ese momento. Esto deja todo al descubierto y presenta un riesgo de seguridad catastrófico para cualquiera que utilice o posea sitios web que dependan del servicio.

El fallo fue parcheado a finales de febrero, aunque el servicio admite que las fugas de datos pueden haber estado ocurriendo desde la introducción de su nuevo analizador HTML el 22 de septiembre de 2016.

Lecciones aprendidas

cloudbleed-heartbleed

Si llevas un tiempo leyendo nuestras historias, puede que recuerdes un suceso muy similar conocido como Heartbleed allá por 2014 en el que los sitios web que utilizaban OpenSSL eran vulnerables a un exploit que podía exponer fragmentos de datos privados a los fisgones. Esto, junto con el más reciente kerfuffle de Cloudbleed, nos enseña una valiosa lección: nada es cien por cien fiable, ni siquiera los servicios con el propósito explícito de protegerte.

Esto no pretende atacar a Cloudflare. El fallo podría haber ocurrido en cualquier servicio. La cuestión es que Internet no es un lugar en el que debas esperar un nivel de seguridad garantizado. Podrías hacer todo lo posible para protegerte y aún así quedar al descubierto por una situación sobre la que no tienes control.

RELACIONADO:  Como hacer madera plástica casera

¿Qué debe hacer?

La verdad es que, como escribe Joseph Steinberg de Inc.Com, «el riesgo actual es mucho menor que el precio que se pagaría en el aumento de la «fatiga de la ciberseguridad», que llevaría a problemas mucho mayores en el futuro». Lo que quiere decir aquí es que la naturaleza del fallo hace que las posibilidades de que tu contraseña se filtre sean tan astronómicamente bajas que cambiarla sólo tendrá el efecto de cansarte. Cuando se produzca una crisis real, es posible que estés demasiado agotado por todo el ruido, el pánico y el bombo, y que ignores una llamada para cambiar tu contraseña en un momento crucial. Cloudbleed no es ese momento. Pero por todos los medios, si realmente sientes la necesidad de hacerlo, cambia tu contraseña.

Aparte de eso, mantente alerta y no ignores los correos electrónicos de los servicios que te gustan. En el momento en que se produzca una crisis, lo más probable es que te envíen una carta amistosa con todo lo que necesitas saber al respecto y puede que incluso te den sugerencias sobre lo que deberías hacer para asegurarte de que no te afecta.

¿Cree que existe una fatiga de ciberseguridad como sugiere Steinberg? ¿Debería la gente estar en un estado de alerta constante incluso cuando no hay una justificación suficientemente fuerte para el pánico? Dinos lo que piensas en un comentario!