Heartbleed es probablemente el fallo de seguridad más importante de la historia de internet. Pero sólo probablemente. Explotarlo no deja huella alguna, de modo que no se puede saber si un sitio web ha sido atacado durante los dos años que ha estado presente. Además, los usuarios no podemos hacer nada para solucionarlo, porque es un problema que afecta a los sitios web. Sin embargo, sí hay algo que por prudencia podemos hacer: cambiar las contraseñas.
Naturalmente, lo ideal es cambiar todas nuestras contraseñas y además no repetir ninguna jamás. Pero como no somos máquinas, podemos seguir unas reglas de sentido común para no volvernos locos. Además, si usamos muchos servicios en internet, puede ser una labor interminable cambiar todas, de modo que podemos acotarla un poco.
En primer lugar, podemos hasta cierto punto despreocuparnos de aquellos servicios que usen algo más que una contraseña como medida de seguridad. Por ejemplo, muchos bancos envían un mensaje a nuestro móvil cada vez que hacemos una transacción con un código de confirmación, de modo que no es tan crucial cambiar la contraseña. Si tenemos activada la verificación en dos pasos que ofrecen algunos proveedores como Google, Microsoft, Yahoo o Twitter tampoco es tan problemático que se hayan hecho con nuestra contraseña.
Por otro lado, hay sitios web que si alguien se hace con nuestra contraseña... hombre, no es bonito, pero tampoco es para tanto. Wikipedia, por ejemplo, aconseja a sus usuarios registrados que cambien la suya, pero seguro que muchos de nosotros tampoco nos preocuparemos mucho si alguien usa nuestra cuenta en la enciclopedia online.
También hay que indicar que paradójicamente sólo se han visto comprometidas web seguras. Si un sitio web no usa el protocolo https no se ha visto afectado por este fallo y no tenemos por qué cambiar la contraseña.
Una vez hecha una cierta selección, en lugar de emplear una contraseña distinta para cada cosa podemos tener cuatro o cinco que repitamos en varios sitios, reduciendo las posibilidades de que los delicuentes descubran una contraseña y la usen para acceder a todas nuestras cuentas, pero permitiendo acordarnos de ellas. Para saber cuál utilizar en cada sitio es dividirlos por grupos: una para tiendas, otra para redes sociales... la única que sí es importante que sólo se use ahí es la del correo electrónico, porque los ciberdelincuentes pueden usar esa cuenta para cambiar todas nuestras demás contraseñas.
Finalmente, antes de cambiar cada contraseña, debemos asegurarnos de que el servicio en cuestión ha arreglado el problema del Heartbleed poniendo el nombre de dominio en esta web. Si aún tiene el fallo activo, podríamos estar revelando los malos la contraseña antigua y la nueva. En ese caso, mejor esperamos unos días y lo volvemos a intentar.