El gobierno de Canadá, la primera víctima de Heartbleed

Como la gran cantidad de sitios en línea que recurren a las conexiones seguras tipo OpenSSL, la Agencia de Ingresos de Canadá (CRA) reconoció su vulnerabilidad frente a Heartbleed, una falla en la protección de datos encriptados descubierta la semana pasada.

La CRA cerró el 8 de abril el espacio que permite a los contribuyentes acceder a sus expedientes fiscales en línea, al tiempo que la Policía investiga la intrusión informática.

El comisario de la CRA Andrew Treusch afirmó que los organismos de inteligencia detectaron "una infracción malintencionada en los datos de los contribuyentes" durante un período de seis horas, que permitió a piratas informáticos obtener los números de seguridad social de cerca de 900 contribuyentes.

El funcionario no descartó que los piratas también hayan obtenido información confidencial sobre empresas.

El número de seguridad social permite a los canadienses y quienes residen en el país realizar trámites ante las principales oficinas de la administración, bancos y organismos de prestaciones médicas o sociales. Este número de nueve cifras es obligatorio para obtener un empleo.

La administración de Obama advirtió que piratas informáticos están tratando de aprovecharse de Heartbleed en ataques dirigidos a escanear redes para ver si son vulnerables.

Pidió que se diese a conocer cualquier ataque relacionado con Heartbleed al Departamento de Seguridad Interior, en un sitio web que emplea para asesorar a los operadores de infraestructuras clave sobre las crecientes ciberamenazas.

Larry Zelvin, un responsable de este departamento que dirige un centro que vigila y responde a las ciberamenazas, dijo separadamente en un blog que el departamento trabaja con los gobiernos federal, estatal y locales para descubrir y limitar cualquier posible amenaza.

"Aunque no ha habido ataques registrados o incidentes malintencionados esta vez sobre esta vulnerabilidad particular, aún es posible que haya agentes maliciosos en el ciberespacio que puedan aprovechar los sistemas sin parchear", dijo Zelvin, director del Centro Nacional de Integración de Ciberseguridad y Comunicaciones.

La falla se dio a conocer la semana pasada, cuando se reveló que una brecha en un programa de encriptación muy usado conocido como OpenSSL abrió cientos de miles de sitios web a los ladrones de datos.

Ahora las empresas de tecnología están agolpándose para identificar vulnerabilidades en el código de OpenSSL en servidores de correo, ordenadores personales, teléfonos e incluso en productos de seguridad.

Empresas como Cisco Systems e Intel se han apresurado para publicar actualizaciones para protegerse contra la amenaza, advirtiendo a los clientes de que pueden estar en riesgo.

Facebook, Tumblr, Yahoo!, Yahoo! Mail, Amazon Web Services, Intuit, Dropbox, LastPass, OKCupid, SoundCloud y Wunderlist son algunas de las empresas que pidieron a los usuarios cambiar sus contraseñas.

La recomendación se extiende a Google y Gmail. Si bien no es claro qué sucede con Twitter, Apple, eBay, Evernote y Netflix, también es recomendable modificar el password.

LinkedIn, Amazon, Microsoft, AOL, Outlook y PayPal, entre otros, no fueron afectados.