A principios de esta semana, un fallo en seguridad conocido como Heartbleed fue publicado y afectó aproximadamente a dos tercios de todos los sitios web que utilizan el cifrado SSL. Esta cuestión impactó en gran medida a los sitios web de comercio electrónico ya que cada tienda en línea que acepta tarjetas de crédito debe utilizar el cifrado SSL.
Desde su divulgación, ha habido muchos informes de noticias sobre Heartbleed y cómo está afectando a los sitios web, software y servicios de Internet. Queremos proporcionar más detalles sobre Heartbleed y cómo afecta a los comerciantes de comercio electrónico. Y, lo más importante que queremos hacer hincapié es que los comerciantes y sus clientes que utilizan Shopify están a salvo de Heartbleed.
¿Qué es Heartbleed?
Heratbleed afecta al SSL, la tecnología de seguridad que se utiliza para establecer un enlace encriptado entre el servidor web y un navegador. Sabes que un sitio utiliza SSL cuando al navegar ves “https://” y el icono del candando en tu explorador web. Heartbleed es un error grave de seguridad que está presente en la librería OpenSSL usada por muchos servidores web para proveer seguridad SSL.
El problema Heartbleed podría permitir a un atacante acceder a la memoria privada de un servidor web. Ese recuerdo podría contener contraseñas de usuario, números de tarjetas de crédito, llaves de seguridad privada o cualquier otra información.
Se trata de un problema de seguridad importante que ha afectado y sigue afectando a millones de sitios web que utilizan SSL.
¿Cómo afecta Heartbleed a Shopify?
Cómo se mencionó anteriormente, todos los sitios web de comercio electrónico que utilizan Shopify son seguros contra Heartbleed.
Durante la mitad del día 7 de abril, el tema de Heartbleed fue ampliamente divulgado. El equipo de seguridad y operaciones de red de Shopify inmediatamente se puso a trabajar para proteger nuestra infraestructura de alojamiento. Por las 7:00 pm se habían desplegado una solución a través de una infraestructura básica y antes de la medianoche todos los sistemas secundarios habían sido asegurados. El equipo de operaciones continuó trabajando en la noche y para el siguiente día, todas las claves y certificados habían sido re publicados.
Debido a la rápida respuesta de nuestro equipo de operaciones (más rápido que Google y Yahoo por ejemplo) los datos sensibles o comprometedores de los sitios Shopify no han sido comprometidos. Como precaución general, te recomendamos que cambies regularmente las contraseñas y otras credenciales sensibles como la salida del pago y credenciales API. Ésta podría ser una buena oportunidad para actualizar todas las contraseñas.
Puedes comprobar el historial del inicio de sesión de tu cuenta por si hay alguna actividad inusual accediendo al administrador de tu tienda, haciendo clic en tu nombre en el lado izquierdo de la parte superior, después haz clic en “Ver tu cuenta de usuario”. Esto mostrará todos tus inicios de sesión recientes, qué proveedor de internet fue utilizado y así sucesivamente.También puedes expirar todas tus sesiones de usuario activas dando clic al botón apropiado en lapágina de configuración de tu cuenta(también puedes acceder con http://ejemplotienda.mishopify.com/admin).
¿Qué pasa con otros sistemas de comercio electrónico?
Heartbleed afecta a millones de sitios web de comercio electrónico. Para determinar si tu sitio de comercio electrónico es vulnerable al problema, puedes utilizar la siguiente herramienta:Heartbleed Test.
Si tu sitio es encontrado como vulnerable, por favor ponte en contacto con tuproveedor de hostingo administrador de red inmediatamente y pide que actualice la implementación OpenSSL. Ellos también necesitarán ciclar las claves y certificados SSL de tu sitio de comercio electrónico (y quitar las antiguas si es posible). Deberías actualizar cualquier contraseña, incluyendo las credenciales de la salida del pago.
Es importante solucionar este problema lo más pronto posible ya que existen informes de que algunos se han aprovechado de esta vulnerabilidad.
¿Sigue siendo seguro comprar en línea?
Debido a toda la publicidad que rodea Heartbleed, se puede asumir que la mayoría de los sitios de comercio electrónico estarán a salvo ante ese problema en breve. Para reiterar, todas las tiendas Shopify son seguras a la vulnerabilidad Heartbleed.
Mientras tanto te sugerimos utilices la extensiónChromebleed Checkerpara el navegador web Google Chrome, ya que éste te avisará si cualquier sitio web en el que introduzcas los datos de tu tarjeta de crédito es vulnerable a Heartbleed.
Puedes aprender más de Heartbleedaquí.