El problema, que salió a relucir esta semana, afecta a una tecnología de codificación informática de uso amplio que debe proteger las cuentas en Internet de una amplia gama de comunicaciones y transacciones electrónicas.
Investigadores de seguridad que descubrieron la amenaza están particularmente preocupados por el problema porque no se detectó durante más de dos años, y temen que piratas informáticos pueden haber explotado en secreto la falla.
Aunque ahora hay una forma de cerrar la brecha de seguridad, todavía existen suficientes razones para preocuparse, dijo David Chartier, director general de Codenomicon. Un pequeño equipo de la firma finlandesa de seguridad identificó Heartbleed mientras trabajaba independientemente de otro investigador de Google Inc. que también descubrió la amenaza.
"No creo que nadie que haya usado esta tecnología puede decir con certeza que no los comprometieron", dijo Chartier.
Publicidad
Pero la entidad fiscal canadiense ha decidido no arriesgarse.
Citando los peligros de seguridad de Heartbleed, la Agencia de Ingresos de Canadá cerró el acceso público a su portal de Internet para "proteger la integridad de la información que guardamos", según un aviso publicado el miércoles en el portal. Eso ocurre sólo tres semanas antes de la fecha tope para las declaraciones de impuestos de ese país.
Publicidad
Por su parte, el Servicio de Rentas Internas (IRS) de Estados Unidos expresó en un comunicado el miércoles que no ha sido afectado por la falla de seguridad. "El IRS aconseja a los contribuyentes que sigan enviando sus declaraciones de impuestos de manera normal antes de la fecha tope del 15 de abril", informó la entidad.
Sin embargo, expertos aconsejan al público cambiar todas sus claves.
"Yo cambiaría todas mis claves porque es posible que se haya filtrado algo", dijo Wolfgang Kandek, jefe de tecnología de Qualys, fabricante de software de análisis de seguridad. "Uno no sabe porque un ataque no hubiera dejado un rastro distintivo".
Aunque cambiar las claves no resuelve nada, dijeron estos expertos, hasta que los servicios afectados instalen el programa publicado el lunes para solucionar la falla. Eso presiona a los servicios afectados por Heartbleed a alertar a sus usuarios de los riesgos potenciales e informarles cuando la solución esté operativa para que puedan cambiar sus claves.
Publicidad
Hasta el momento, pocos portales de Internet han reconocido la afectación de Heartbleed, aunque se cree que el virus se ha esparcido ampliamente.
"Esto será difícil para la persona de a pie", dijo Chartier.
Publicidad
Yahoo Inc., que tiene más de 800 millones de usuarios en todo el mundo, está entre los servicios que pudieran haber sido afectados por Heartbleed.
La compañíaa de Sunnyvale, California, dijo que la mayoría de sus servicios más populares, como deportes, finanzas y Tumblr, ya están protegidos, pero el martes expresó en un comunicado que todavía trabajaba en otros productos.
Heartbleed crea una brecha en SSL/TLS, una tecnología de codificación identificada por el pequeño candado cerrado que aparece junto a "https:" en los navegadores para indicar que el tráfico es seguro.
La falla hace posible penetrar ese tráfico aunque el candado esté cerrado, según expertos.
Publicidad
El problema sólo afecta a la variante OpenSSL de SSL/TLS, pero es la más común en Internet.
Publicidad