El 15 de abril de 2014, todos los usuarios de los servicios de la OMPI que funcionan con cuentas de la OMPI (incluidos ePCT y los distintos servicios en línea de los Sistemas de Madrid y de La Haya) han recibido un mensaje de correo–e en el que se les solicitó restablecer sus contraseñas. Ofrecemos a continuación una explicación de lo que ello significa en relación con el fallo de seguridad Heartbleed.
Varios sistemas de la OMPI utilizaban una versión de OpenSSL vulnerable al fallo de seguridad Heartbleed. Apenas recibimos la alerta, aplicamos inmediatamente un parche en nuestros sistemas y reemplazamos los certificados de los servidores para impedir que dicho fallo de seguridad pudiera atacarlos.
No nos consta que haya resultado comprometido ningún tipo de información sobre los usuarios, aunque existe la posibilidad de que se hayan extraído nombres de usuarios y contraseñas antes de la aplicación del parche en los servidores.
El parche se aplicó en nuestros servidores el 10 de abril de 2014. Varios servicios (incluidos los servicios ePCT de carácter público y las aplicaciones del Centro de arbitraje y mediación) utilizados en tareas de tramitación particularmente delicadas y para los que se utiliza únicamente un nombre de usuario y una contraseña, se suspendieron durante el fin de semana siguiente hasta que pudiéramos imponer un restablecimiento forzoso de contraseña, lo que se llevó a cabo el 15 de abril. Cabe señalar que confiábamos en que no habría brechas de seguridad en los servicios ePCT de carácter privado, debido a la capa adicional de seguridad que ofrece el certificado digital, por lo cual esos servicios siguieron estando disponibles.
Si no ha recibido el mensaje de correo–e en el que se le pidió que cambiara su contraseña, o si usted nunca pulsa enlaces recibidos en mensajes de correo no solicitados, puede comenzar el proceso de modificación de su contraseña dirigiéndose a la página de inicio de sesión, y hacer clic en el enlace que se encuentra en el texto que figura en esa página. Dicho enlace lo llevará a una página en la que podrá iniciar el proceso de restablecimiento de contraseña, para el cual se le enviará un mensaje de correo–e con un enlace personalizado. Si no ha recibido dicho mensaje, verifique que el mensaje no haya sido archivado en el buzón de correo basura.
Si de todos modos no logra modificar su contraseña ni iniciar una sesión, tenga a bien contactar el Centro de atención al cliente de la OMPI.
Desde la actualización de los servidores, hemos recibido informes de algunos usuarios de Internet Explorer 11, indicando que no pueden acceder a determinados servicios. Estamos investigando ese problema, pero por el momento solo podemos recomendar que los usuarios afectados utilicen otro navegador hasta tanto se reconozcan las causas del problema.
El programa informático PCT-SAFE contenía una copia de la misma biblioteca OpenSSL que causó el fallo Heartbleed. Según nuestro análisis, PCT-SAFE no es vulnerable porque no usa el servicio específico en el que radica el problema. Sin embargo, el 17 de abril instauramos una nueva versión de dicho programa informático.
Lamentamos las molestias ocasionadas. Las precauciones que hemos tomado están en sintonía con las prácticas de TIC recomendadas tras haberse detectado el fallo de seguridad “Heartbleed”. La OMPI otorga la máxima prioridad a la seguridad de sus aplicaciones y servicios operativos.