Las grandes empresas luchan contrarreloj contra uno los mayores agujeros de seguridad de la historia de Internet
Todas las alarmas saltaron a finales de la semana pasada, cuando un ingeniero de software del gigante del comercio electrónico Alibaba descubrió una grave vulnerabilidad en Apache Log4j, una biblioteca de código abierto desarrollada por la Apache Foundation que sirve para registrar las actividades que se realizan durante la ejecución de una aplicación Java, una tecnología utilizada por una gran mayoría de servicios y aplicaciones web. iCloud, el servicio en la nube de Apple o la tienda online de videojuegos Steam, propiedad de Valve, son algunas de las grandes herramientas digitales que han confirmado su vulnerabilidad ante este agujero de seguridad que los expertos han calificado como uno de los mayores de la historia de Internet. Incluso el dron Ingenuity de la NASA, actualmente en misión de exploración en Marte, tuvo problemas de comunicación esta misma semana derivados de esta brecha.
El alcance de este agujero conocido como Log4Shell es muy difícil de calcular, ya que al afectar a una librería de código abierto y muy utilizada en servidores y plataformas de multitud de empresas de todos los tamaños hacen vulnerable a cualquier software por igual. Su nombre viene del peligro que puede suponer, el acceso “shell” o en remoto al sistema de un servidor para controlar por completo los dispositivos y herramientas afectadas. La dificultad de actualización de algunos dispositivos y herramientas puede hacer que esta vulnerabilidad permanezca varios años si no se toman medidas de protección adecuadas. Precisamente por esto, este exploit ha sido calificado con un 10 en la escala del estándar de ciberseguridad CVSS, la peor puntuación que se puede obtener.
Aunque desde el momento de hacerse público las grandes corporaciones pusieron en marcha a sus equipos para analizar las posibles afectaciones de Log4Shell, muchas de ellas han sufrido ataques, como es el caso del popular videojuego Minecraft, que fue hackeado con una sola línea de código en un chat. Según algunos datos, durante la semana se han llegado a registrar más de 100 intentos de hackeo por minuto aprovechando esta vulnerabilidad, la mayoría de ellos por atacantes conocidos que realizan actividades de ramsomware, “secuestros” de dispositivos, o cryptojacking, minado de criptomonedas.
El primer parche para resolver este exploit salió poco más de 24 horas después de conocerse la existencia de Log4Shell gracias a los tres desarrolladores voluntarios de la Apache Foundation que participan desinteresadamente en el mantenimiento del proyecto de código abierto Log4j, y ya ha habido nuevas actualizaciones durante la semana. Son las empresas y aplicaciones, sin embargo, las encargadas de parchear y actualizar sus equipos para resolver este problema, algo que en muchas ocasiones es tarea complicada.
El aumento de la actividad en Internet, el crecimiento del comercio electrónico, los dispositivos conectados o el auge de las criptomonedas harán que lamentablemente cada vez sea más común encontrar vulnerabilidades o sufrir ataques malintencionados. Sin ir más lejos, esta misma semana el equipo de hackers de Google, Project Zero, descubrió una vulnerabilidad en el sistema operativo de los iPhones que han catalogado como “terrorífica”por su sofisticación: es prácticamente imposible de detectar y tiene el poder de darle a un atacante el control completo del dispositivo de la víctima.
Por eso la preocupación por la ciberseguridad en el ámbito personal y empresarial debe ser prioridad máxima, ya que en muchas ocasiones no existe ningún tipo de defensa. Necesitamos profesionales formados en esta especialidad, de gran demanda por la industria mundial, y en Galicia podemos presumir de iniciativas pioneras como CIBER.gal, el Nodo gallego de Ciberseguridade, o la próxima puesta en marcha del título propio de Ciberseguridad en la Universidade de Vigo.
