La falla “log4j”, que habría sido detectada en un primer momento por algunos seguidores del famoso juego online Minecraft o por un investigador de seguridad de la empresa china Alibaba, desde el 9 de diciembre, siembra el pánico entre casi todas las grandes empresas de software, que están intentando determinar si sus productos se han visto afectados y la mejor manera de protegerlos.
Sin embargo, a pesar de la vaguedad que rodea al descubrimiento del error informático, los expertos coinciden en que se trata de la mayor vulnerabilidad de software de todos los tiempos, en cuanto a la cantidad de servicios, sitios, dispositivos en riesgo, y afirman el imperativo de corregirlo lo antes posible. .
“La vulnerabilidad con log4j es la más severa que he visto en mis décadas de trabajo”, dijo a CNBC la directora de la Agencia de Seguridad Cibernética y Seguridad de la Infraestructura (CISA) de Estados Unidos, Jen Easterly.
Solo en Google, más de 500 ingenieros revisaron montones y montones de códigos para asegurarse de que estuvieran seguros, según un empleado citado por el Washington Post. Este proceso se ha repetido en todo tipo de empresas tecnológicas.
Los piratas informáticos, por otro lado, están trabajando tan duro como los expertos en ciberseguridad, para explotar log4j antes de que se solucione el error. Según la empresa de software de ciberseguridad Check Point, los piratas informáticos ya han intentado utilizarlo para penetrar en casi la mitad de las redes de Internet.
El CISA ha establecido el mes diciembre como fecha límite, para implementar las correcciones de log4j. Sin embargo, incluso si los ingenieros están trabajando día y noche para cumplir con esto, los piratas informáticos habrán llegado a cientos de miles de servicios y sitios para entonces, dijo el director de operaciones de la compañía a The Washington Post. Seguridad Verimatrix, Asaf Ashkenazi.
En algunos casos, los piratas informáticos instalarán “puertas traseras” o código malicioso, que permanecerá en su lugar incluso después de que se haya resuelto el problema inicial de log4j. Identificar y eliminar estas puertas traseras, será una tarea completamente diferente para los expertos en seguridad, dijo.
Disponible de forma gratuita en Internet y ampliamente utilizado, Log4j es un fragmento de código que ayuda a las aplicaciones de software a realizar un seguimiento de sus actividades pasadas, explicó Ashkenazi, y agregó que en lugar de reinventar un componente de grabación cada vez que los desarrolladores crean un nuevo software, a menudo usan código existente como log4j.
Entonces, cada vez que le pedimos a log4j que registre algo nuevo, intentará darle sentido a esa nueva entrada y agregarla al registro. Hace unas semanas, la comunidad de ciberseguridad se dio cuenta de que con solo pedirle al programa que registrara una línea de código malicioso, estaba ejecutando ese código en el proceso, permitiendo que los malos actores tomaran el control de los servidores que ejecutan log4j.
Log4j ha sido parte del lenguaje de programación Java, uno de los fundamentos de la escritura de software desde mediados de los años 90. Grandes extensiones del código de computadora en el que se ejecuta la vida moderna usan Java y contienen log4j, de ahí la gravedad de este defecto.
De hecho, las empresas de almacenamiento en la nube como Google, Amazon y Microsoft, que son la columna vertebral digital de millones de otras aplicaciones, se ven afectadas. Lo mismo ocurre con los proveedores de software gigantes, cuyos programas son utilizados por millones de personas, incluidos IBM, Oracle y Salesforce.
Asimismo, los dispositivos que se conectan a Internet, como televisores y cámaras de seguridad, también están en riesgo. Los piratas informáticos que intentan irrumpir en espacios digitales, para robar información o implantar malware de repente, tienen una nueva oportunidad enorme para intentar irrumpir en casi cualquier lugar que deseen.