Proteja a su empresa de Heartbleed y otros riesgos informáticos similares

Si no ha oído hablar de Heartbleed en las últimas semanas tiene un problema. En realidad tiene dos. Por un lado,  está demasiado desconectado de la realidad tecnológica empresarial y por otro, muy posiblemente tenga un fallo de seguridad en su sistema informático. De la solución al primer problema, que es el más grave, ya hemos hablado en alguna ocasión en este blog. Pero ahora, lo urgente es ocuparse del segundo. Heartbleed ha saltado a la ´fama´ por ser uno de los fallos de seguridad más graves de la era de Internet.  La explicación técnica se refiere a un fallo en la librería Open SSL que afecta al sistema que regula las conexiones consideradas seguras, aquellas cuya dirección web comienza por HTTPS.  Desde que se detectó, el pasado 8 de abril, he leído ríos de tinta sobre ella, en muchos de los cuales casi me ahogo en la incomprensión. Una digerible explicación para los no iniciados en tecnología la encontré en el este artículo. Pero protocolos y lenguajes informáticos a parte, hay una cosa clara. Este agujero de seguridad es muy posible que esté afectando a la mayoría de las empresas que trabajan con bancos: desde aquellas que ofrecen servicios de comercio electrónico o sistemas de pago online, hasta las que simplemente gestionan informáticamente el pago de nóminas. Incluso, todas aquellas que gestionan sus correos electrónicos a través de gmail de Google o tienen una página de  Facebook pueden estar en peligro. El fallo de seguridad, que se acaba de conocer, lleva ejecutándose desde hace más de dos años. Eso significa que cualquier hacker habilidoso podría haber entrado en sus archivos y tener información confidencial de sus cuentas, sus clientes, etc. No es posible hacer nada a posteriori, pero lo que sí aconsejan todos los expertos es cubrirse cuanto antes ante el riesgo de nuevas intromisiones. "Hasta que saltó la noticia sólo algunos informáticos tenían consciencia de ese fallo para aprovecharse de él. Ahora, son muchos los que lo conocen y la reacción, tanto de empresas como de usuarios particulares, no está siendo todo lo rápida que debería", advierte un informático experto en seguridad financiera. Conocido el fallo, es mucho más fácil que hackers de todo tipo se apunten a la caza de información confidencial. No en vano, las grandes multinacionales fueron informadas sobre este problema una semana antes de la publicación oficial del mismo; para que pudieran solucionar el problema antes que los listillos se apresuraran  a buscar el resquicio por el que entrar en sus sistemas informáticos. Las pymes no sólo están lejos de ese trato privilegiado sino que, tal y como se ha publicado la noticia, en la mayoría de los casos, parece que es un tema que sólo afecta a los encargados de los servidores  y a nadie más. Pero, no es así. Todos  los usuarios, pymes o individuales, tienen que actuar con celeridad si quieren preservar su privacidad.  Especialmente aquellas empresas que ofrecen servicios de pago o comercio electrónico en sus páginas de Internet. Lo primero que se debe hacer es comprobar si el problema existe. Es increíble como en apenas unos días han proliferado las páginas para hacerlo rápido y fácil online. Heartbleed Test es una de ellas y LastPass, otra de las muchas que se recomiendan estos días. Además, Google ha diseñado una extensión para su navegador Chrome, Chromebleed, que avisa a los usuarios si la página en la que están ha solucionado ya el problema de Heartbleed o no. Pero con riesgo comprobado o sin él, sin duda la recomendación más extendida es cambiar las contraseñas que dan acceso al correo electrónico y las cuentas bancarias. Y no vale con cambiar el día del cumpleaños por el día del aniversario. La sofisticación de Internet exige que el cifrado de acceso a todos los servicios informáticos sea, cada vez, más profesional. Por eso hay que seguir unas reglas clave para definir contraseñas más fiables. 1.- El tamaño importa. Para ponérselo difícil a los cotillas informáticos, las contraseñas tienen que tener un mínimo de 8 caracteres. 2.- Evitar lo predecible. No sirve una palabra larga si tiene un significado común o es fácilmente adivinable.  Evitar los nombres propios o los corporativos es fundamental. Lo más seguro es crear una palabra que no signifique nada  y además aderezarla con mayúsculas y números, colocados también aleatoriamente. 2.- Una frase mejor que una palabra. En muchos casos ponemos contraseñas fáciles porque cuesta menos recordarlas. Para conjugar ambas necesidades es útil optar por una frase. Los expertos aconsejan definir una frase fácil como contraseña, por ejemplo: "Me gusta mucho ver a los tres tigres". La contraseña sería segura si se teclean sólo las primeras letras de cada palabra, mgmval3t, podría ser un ejemplo. 3.-Las faltas de ortografía no sólo están permitidas sino que son muy recomendables. Cuanto más descabellado sea el "error" en la palabra utilizada como contraseña, más difícil lo tendrá el hacker de turno. 4. Variedad. Es demasiado habitual utilizar la misma contraseña para todo. No hace falta ser un lumbreras para deducir el riesgo que implica esta costumbre. Su banco puede ser muy seguro pero si usted utiliza la misma contraseña que en cualquier red social, y alguna de estas es detectada, el hacker sólo tendrá que teclearla y acceder con toda facilidad a sus extractos financieros. 5. La técnica puede hacerlo por usted. Como en Internet se puede encontrar de todo, también existen numerosos sitios en los que generar una contraseña segura, desde los que sólo le dan la combinación de letras y números como password.es, hasta los que se encargan incluso de gestionarlas para evitar problemas de memoria, como lastpass, entre otros muchos.