Periodista especializado en Tecnología con especial interés en la privacidad, el espionaje, la ciberseguridad y los derechos en la esfera digital. Observador de realidades, a veces provocador y defensor de la igualdad, la inclusión y el libre albedrío.
Twitter: @yak3001
No habrá feliz Navidad para los equipos de ciberseguridad
Mientras nosotros estamos organizando la posada y los intercambios de fin de año, los expertos en ciberseguridad están lidiando con una bomba de tiempo.
Mientras nosotros estamos organizando la posada y los intercambios de fin de año, los expertos en ciberseguridad están lidiando con una bomba de tiempo.
Llega diciembre y nuestro tiempo se divide entre la vida adulta y los recuentos de lo que fue el año digital: nuestro top 100 de canciones más escuchadas en Spotify, nuestros mejores momentos en Facebook e Instagram, y las horas perdidas buscando regalos en Amazon o MercadoLibre. Sí, todo es felicidad o nostalgia, pero muy pocas personas se han dado cuenta que en diciembre de este 2021, los sistemas informáticos están en riesgo de ser atacados.
El 9 de diciembre se hizo pública la vulnerabilidad crítica Log4Shell que afecta a la librería de código abierto Log4j, desarrollada por la Apache Software Foundation. El riesgo es tal que los expertos en informática la han colocado el nivel 10 de 10 en la escala de riesgo Common Vulnerability Scoring System (CVSS), utilizada para medir la gravedad de las vulnerabilidades informáticas. Empresas como Amazon, Apple, Cisco, Didi, Google, LinkedIn, Testa o Twitter son algunas de las que utilizan esta biblioteca.
Para quienes no somos expertos, seguramente esto es lo mismo que tratar de entender arameo. El investigador de Kaspersky Lab, Nikolay Pankov, lo explica con palabras más sencillas: “si los atacantes logran explotarla en uno de los servidores, obtienen la capacidad de ejecutar un código arbitrario y tomar el control total del sistema”.
Más sencillo: “Significa que cualquier sitio web o servidor en Internet que utilice un popular software de registro de Java llamado Log4j, puede ser hackeado instantáneamente”, escribió en su cuenta de Twitter el experto en ciberseguridad Mustafa Al-Bassam. El consultor Roman Naumenko propuso un escenario más catastrófico: Vas a una planta de energía nuclear en un tour y solicitas registrarte el libro de visitas que está en una computadora. Escribes una línea de código y la planta explota.
Cuando se hizo pública esta vulnerabilidad, la Apache Software Foundation lanzó parches de seguridad a la librería Log4j. Los Equipos de Respuesta ante Emergencias Informáticas (CERT) de todo el mundo han advertido la urgencia de instalar los parches, de acuerdo a la versión de Log4j que tengan instalada.
En esta historia, que aún no podemos decir que tendrá un final feliz, hay algunos héroes: Chen Zhaojun, investigador de Alibaba Cloud Security Team, quien fue el primero en dar aviso la Apache Software Foundation sobre la vulnerabilidad a finales de noviembre; y el equipo de desarrolladores de Log4j quienes trabajan para mantener actualizada la librería sin recibir pago alguno. Según el sitio web de Apache, existen 10 miembros en el Proyecto de Log4j.
Sin embargo, uno de los desarrolladores, Volkan Yazici, dijo en su cuenta de Twitter que han recibido ataques tras el descubrimiento de la vulnerabilidad.
“Los mantenedores de Log4j han estado trabajando sin dormir en las medidas de mitigación; arreglos, documentos, CVE, respuestas a consultas, etc. Sin embargo, nada impide que la gente nos golpee por un trabajo por el que no nos pagan, por una función que no nos gusta a todos (parchar los sistemas) pero que necesitamos mantener debido a problemas de compatibilidad con versiones anteriores”, dijo.
Esto abre nuevamente la crítica sobre el poco apoyo que se le da a los desarrolladores de código abierto quienes, en sus tiempos libres, se dedican a dar soporte a sistemas gratuitos que literalmente sostienen a la mayor parte de los negocios digitales de empresas con facturación millonaria.
Desde que salió a la luz, las firmas de seguridad informática e investigadores han alertado sobre un creciente número de ataques que aprovechan la Log4Shell para el minado de criptomonedas, pero también ciberataques respaldados por Estados.
El Centro de Inteligencia de Amenazas de Microsoft advirtió que la vulnerabilidad Log4Shell está siendo usada por múltiples grupos respaldados por Estados, con actividad proveniente de China, Irán, Corea del Norte y Turquía, que va desde experimentación hasta ataques en contra objetivos específicos.
El Centro Nacional de Ciberseguridad de Países Bajos da cuenta que, al momento de escribir esta columna, diversos sistemas de empresas como Amazon y Minecraft ya habían sido parchados, aunque otros como la plataforma de videoconferencias Webex de Cisco, o sistemas de Red Hat, que desarrolla software corporativo, aún se encontraban vulnerables.
Hasta ahora no hemos visto una planta nuclear explotar, es cierto. Quizás el caso que más ha sonado fue el hackeo del chat de Minecraft, donde se aprovechó la vulnerabilidad, pero lo cierto es que su potencial destructivo es elevado si es que los ciberatacantes toman el control de los sistemas con una simple línea de código.
Ahora, el mundo digital está en manos de los desarrolladores de sistemas y expertos en ciberseguridad, quienes deberán aplicar todos los parches necesarios a la librería Log4j de Apache que tengan en sus sistemas.
Este episodio evidencia una vez más la necesidad de fortalecer e invertir en las iniciativas de código abierto, sobre todo aquellas que sostienen prácticamente todo el internet, y la urgencia de formar y capacitar a más profesionales de seguridad informática para afrontar los retos de un mundo digital. Mientras nosotros estamos organizando la posada y los intercambios de fin de año, los expertos en ciberseguridad están lidiando con una bomba de tiempo que seguramente les impedirá tener una feliz Navidad.