Nueva York (CNN Business) – Una falla crítica en un software muy utilizado ha hecho sonar las alarmas entre los expertos en ciberseguridad y las grandes empresas que se apresuran a solucionar el problema.
La vulnerabilidad, de la que se informó a finales de la semana pasada, se encuentra en un software basado en Java conocido como “Log4j” que las grandes organizaciones utilizan para configurar sus aplicaciones, y supone un riesgo potencial para gran parte de Internet.
El servicio de computación en la nube de Apple, la empresa de seguridad Cloudflare y uno de los videojuegos más populares del mundo, Minecraft, son algunos de los muchos servicios que ejecutan Log4j, según los investigadores de seguridad.
Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional, lo calificó como “uno de los fallos más graves” que ha visto en su carrera. En un comunicado el sábado, Easterly dijo que “un conjunto creciente” de ciberdelincuentes está intentando activamente explotar la vulnerabilidad.
Hasta el martes, se producían más de 100 intentos de hackeo por minuto, según datos de esta semana de la empresa de ciberseguridad Check Point.
“Llevará años solucionar esto mientras los atacantes estarán buscando… [explotarlo] a diario”, dijo David Kennedy, CEO de la firma de ciberseguridad TrustedSec. “Esto es una bomba de tiempo para las empresas”.
Esto es lo que debes saber:
¿Qué es Log4j y por qué es importante?
Log4j es una de las bibliotecas de registro más populares utilizadas en línea, según los expertos en ciberseguridad. Log4j ofrece a los desarrolladores de software una forma de crear un registro de la actividad que se utiliza para diversos fines, como la resolución de problemas, la auditoría y el seguimiento de datos. Al ser de código abierto y gratuita, la biblioteca está presente en todas las partes de Internet.
“Es omnipresente. Incluso si eres un desarrollador que no utiliza Log4j directamente, es posible que estés ejecutando el código vulnerable porque una de las bibliotecas de código abierto que utilizas depende de Log4j”, dijo Chris Eng, jefe de investigación de la firma de ciberseguridad Veracode, a CNN Business. “Esta es la naturaleza del software: es un círculo vicioso”.
Compañías como Apple, IBM, Oracle, Cisco, Google y Amazon, todas ejecutan el software. Podría presentarse en aplicaciones y sitios web populares, y cientos de millones de dispositivos en todo el mundo que acceden a estos servicios podrían estar expuestos a la vulnerabilidad.
¿Lo están explotando los hackers?
Según la empresa de ciberseguridad Cloudflare, los atacantes parecen haber tenido más de una semana de ventaja para explotar el fallo de software antes de que se hiciera público. Ahora, con un número tan elevado de intentos de explotarlo cada día, algunos temen que lo peor esté por llegar.
“Los cibercriminales más sofisticados y de más alto nivel encontrarán una manera de convertir la vulnerabilidad en un arma para obtener la mayor ganancia”, dijo el martes Mark Ostrowski, jefe de ingeniería de Check Point.
A última hora del martes, Microsoft afirmó en una actualización de un blog que cibercriminales respaldados por el China, Irán, Corea del Norte y Turquía han intentado explotar el fallo de Log4j.
¿Por qué es tan grave esta falla de seguridad?
Los expertos están especialmente preocupados por esta vulnerabilidad porque los hackers pueden acceder fácilmente al servidor de una empresa, lo que les permitiría entrar en otras partes de la red. También es muy difícil encontrar la vulnerabilidad o ver si un sistema ya ha sido comprometido, según Kennedy.
Además, a última hora del martes se descubrió una segunda vulnerabilidad en el sistema de Log4j. Apache Software Foundation, una organización sin ánimo de lucro que desarrolló Log4j y otro software de código abierto, publicó una corrección de seguridad para que las organizaciones que utilizan el código lo actualicen.
¿Cómo están tratando de resolver el problema las empresas?
La semana pasada, Minecraft publicó una entrada en su blog en la que anunciaba que se había descubierto una vulnerabilidad en una versión de su juego, y rápidamente publicó una solución. Otras empresas han tomado medidas similares.
IBM, Oracle, AWS y Cloudflare han emitido avisos a sus clientes, y algunas de ellas han lanzado actualizaciones de seguridad o han esbozado sus planes para posibles parches.
“Este es un fallo muy grave, pero no se puede pulsar un botón para parchearlo como una vulnerabilidad importante tradicional. Va a requerir mucho tiempo y esfuerzo”, dijo Kennedy.
En aras de la transparencia y para ayudar a reducir la desinformación, CISA dijo que crearía un sitio web público con actualizaciones sobre los productos de software afectados por la vulnerabilidad y cómo los hackers los explotaron.
¿Cómo protegerse?
La presión recae en gran medida sobre las empresas para que actúen. Por el momento, los usuarios deben asegurarse de actualizar sus dispositivos, programas y aplicaciones cuando las empresas lo indiquen en los próximos días y semanas.
¿Cuáles son los pasos que siguen?
El gobierno de Estados Unidos emitió una advertencia a las empresas afectadas para que estén en alerta máxima durante la temporada festiva por el ransomware y los ciberataques.
Preocupa que un número cada vez mayor de actores haga uso de la vulnerabilidad de nuevas maneras, y aunque las grandes empresas tecnológicas pueden tener en funcionamiento los equipos de seguridad para hacer frente a estas posibles amenazas, muchas otras organizaciones no.
“Lo que más me preocupa son los distritos escolares, los hospitales, los lugares en los que hay una sola persona de TI que se encarga de la seguridad y que no tiene tiempo ni presupuesto ni herramientas de seguridad”, dijo Katie Nickels, directora de Inteligencia de la empresa de ciberseguridad Red Canary. “Esas son las organizaciones que más me preocupan: organizaciones pequeñas con presupuestos de seguridad reducidos”.
– Sean Lyngaas contribuyó con este reportaje.