Cloudbleed: nueva crisis de seguridad informática expone a miles de usuarios

Un pequeño fallo en el código de Cloudflare, empresa tecnológica de seguridad informática y rendimiento web que le brinda servicios a Uber, OKCupid, 1Password y FitBit, ha dejado al descubierto una cantidad desconocida de datos, incluyendo contraseñas de usuarios, información y mensajes privados, cookies y más.

Cloudflare, una de las compañías de seguridad de Internet más grandes del mundo, ya ha tomado cartas en el asunto tras ser notificada al respecto por el investigador de seguridad Tavis Ormandy, de Project Zero de Google.

La fuga de información, según Ormandy, data de septiembre de 2016, pero no se conoce la dimensión real de la vulneración ni si esta ha sido aprovechada por hackers maliciosos.

La fuga de información, bautizada Cloudbleed, obliga a cambiar de contraseñas a los usuarios de los servicios mencionados. Son varias las firmas que pagan a Cloudflare para ayudar a mantener sus datos de usuario seguros, pero Cloudbleed ha ocasionado justo lo contrario.

"Estoy encontrando mensajes privados de los principales sitios de citas, mensajes completos de un conocido servicio de chat, datos de administrador de contraseñas en línea, marcos de sitios de video para adultos, reservas de hoteles ", escribió Tavis Ormandy en un comunicado. Ormandy también dijo que la vulnerabilidad de Cloudbleed filtró datos a través de 3,438 dominios únicos durante un período de cinco días en febrero. "Estamos hablando de peticiones https completas, direcciones IP de clientes, respuestas completas, cookies, contraseñas, claves”, señala.

De acuerdo con un blog de Cloudflare, el problema se deriva de la decisión de la compañía de usar un nuevo analizador HTML llamado cf-html. Un analizador de HTML es una aplicación que escanea código para extraer información relevante como etiquetas de inicio y etiquetas de fin. Esto hace que sea más fácil modificar ese código.

No está claro qué usuarios han sido expuestos. Cloudlfare afirma que solo un número muy pequeño de solicitudes llevó a los datos filtrados, pero como la vulnerabilidad ha sido de casi seis meses, no se sabe cuánta información estuvo filtrada. Además, el hecho de que gran parte de esos datos se almacenan en caché en diferentes sitios significa que es mejor cambiar contraseñas en todas nuestras cuentas e incluso desloguearse de webs y apps (en el ordenador y el celular) luego de actualizar las claves.