Cloudflare Cloudbleed

Recientemente se ha revelado uno de los desastres en seguridad más importantes de Internet en los últimos tiempos. Cloudflare, uno de los gigantes de la web y quien ofrece servicios, precisamente, de seguridad, de alojamiento web y CDN, sufría de una falla garrafal en el código fuente de su software que permitió que los datos de sus clientes, y a la vez los clientes de estos, quedarán vulnerables. Los detalles de cómo se descubrió este fallo los explicamos en nuestro artículo más temprano y que pueden leer aquí.

A medida que avanza la investigación, se descubre el alcance de la falla, sus implicaciones y más importante, las recomendaciones de los expertos en seguridad son más apegadas a la realidad. Entonces, ¿por qué debemos preocuparnos por el Cloudbleed?. Tavis Ormandy, el ingeniero de Google que destapó este fallo, comentó en su momento:

He informado a Cloudfare sobre mi trabajo. Encontré mensajes privados de páginas web de citas populares, mensajes de una plataforma de chat conocida, datos de servicios para gestionar contraseñas, datos de usuarios de sitios para adultos, reservaciones en hoteles y más cosas.

Estamos hablando de solicitudes detalladas de HTTPS, direcciones IP de clientes, cookies, contraseñas, datos… todo.

Ok. Todo, literalmente todos los datos de los servicios web afectados pudieron haber estado expuestos a hackers malintencionados. Estos datos se encuentran cacheados por Google y otros buscadores, quienes trabajan en conjunto con Cloudflare para eliminarlos antes que los hackers los encuentren. Lo grave del asunto es que el fallo está presente desde Septiembre del año pasado, y que no se conoce una lista exacta de las webs que estuvieron vulnerables durante todo este tiempo. De momento se han recopilado dos grandes listas, una para las webs y otra para las apps móviles que utilizan los servicios de Cloudflare.

Podríamos resumir, ya que vivimos en un mundo conectado, que de todos tus servicios conectados en la red, al menos 2, sino más, pudieron haber sido afectados por este fallo. Y si eres de los usuarios que usaba la misma contraseña para varios servicios, el alcance de la falla en seguridad se multiplica. Ryan Lackey, un experto en seguridad, ofrece un buen punto de vista y que debe alentarnos a buscar cambiar las contraseñas de nuestros servicios en la web:

Cloudfare es responsable de la seguridad de muchos servicios web populares (Uber, FitBit, OKCupid, entre otros). Por esto, en lugar de intentar identificar cuáles son los servicios que usan Cloudfare, es más prudente aprovechar esta oportunidad para cambiar TODAS las contraseñas de TODAS tu cuentas.

Los suuarios también debería cerrar sesión de todas sus aplicaciones móviles y volver a iniciar sesión, después de que cambien las contraseñas, además de activar la verificación en dos pasos en donde pueda.

Lo dicho, cambiar las contraseñas es lo más sensato en este punto y no hay porque perder el tiempo. Quienes utilizamos varios servicios en Internet seguro la habremos pensado dos veces en tener que cambiar esa docena de contraseñas, pero los gestores de contraseñas como 1Password, LastPass, Dashlane o Keepass, pueden ayudarnos en esta tarea. Lo recomendado es crear una contraseña con el generador incluido en estos programas, procurar que lleve varios caracteres, símbolos y números. Además, podemos reforzar la verificación de 2 pasos que tienen la mayoría de los servicios web hoy en día. Lo que si no podemos hacer, es quedarnos de brazos cruzados aunque suene dramático.

Más en TekCrispy