A esta altura ya sabemos qué es el bug Heartbleed, qué lo provocó, y cuáles son las maniobras realizadas por los sitios más importantes de la Web para corregirlo. Aún así, puede que algunos portales y servicios se demoren más tiempo del recomendado. Si quieres comprobar el estado de un dominio específico frente al bug Heartbleed, la gente de LastPass ofrece una sencilla herramienta gratuita.
Debo confesar que para ser la vulnerabilidad informática más importante de los últimos años, la mayoría de la gente se lo ha tomado bastante bien. Puede que aún no se haya terminado de visualizar el alcance de Heartbleed… o puede que no les haya importado, una posibilidad más que preocupante. En teoría, el usuario promedio debería haber cambiado todas sus contraseñas. Este paso es crítico para aquellos que utilizan algún servicio bajo el dominio principal de Yahoo!. El “otro” gigante de Sunnyvale la pasó bastante mal con Heartbleed, y será imposible determinar con exactitud la cantidad de datos extraídos de sus servidores, debido a la naturaleza sigilosa del bug. El parche ya está disponible, pero ahora entramos en el complejo período de su despliegue. Tanto Yahoo! como otras compañías de alto perfil ya erradicaron a Heartbleed de sus plataformas, sin embargo, puede que haya otros dominios retrasados.
Si necesitas chequear algunos, todo lo que tienes que hacer es acceder al “LastPass Heartbleed Checker”, una herramienta gratuita en línea, publicada por el popular sistema de administración de contraseñas. Un dominio, un simple clic, y en pocos segundos sabrás cuál es su situación frente al mediático bug. LastPass nos brinda cuatro ejemplos para comparar: Yahoo! y OkCupid se vieron afectados (con declaraciones oficiales de ambas partes), mientras que Bing no usa OpenSSL, y el propio LastPass reporta que existió la posibilidad de una vulnerabilidad, aunque garantizan la integridad de las contraseñas maestras. De todas maneras, si el dominio que has chequeado actualizó su certificado SSL, lo recomendable es cambiar la contraseña de inmediato, a menos que tu contraseña actual sea más nueva que el certificado.
LastPass agregó esta función a sus clásicas extensiones, de forma tal que todos los usuarios del servicio pueden verificar rápidamente el estado de los dominios almacenados. En lo personal no uso LastPass (KeePass es una excelente alternativa local) pero es bueno saber que su herramienta de chequeo está abierta para cualquier interesado. LastPass nos recuerda que el Heartbleed Checker sólo trabaja con portales HTTPS, y también invita a todas las compañías a brindar información sobre sus acciones para eliminar al bug, incluyendo el detalle de renovar el certificado sin cambiar la fecha original, algo que puede provocar falsos positivos.