TECNOLOGIA

Log4Shell, el «fallo del siglo» que ha puesto a Internet de rodillas


Actualizado

El fallo es especialmente preocupante por la facilidad con la que permite ejecutar cdigo no autorizado en el sistema atacado

Log4Shell, el "fallo del siglo" que ha puesto a Internet de rodillas
BlogtrepreneurFlickr
  • Seguridad Descubierto un fallo que permite hackear cualquier dispositivo usando el WiFi

Desde el pasado jueves expertos en ciberseguridad y programadores de todo el mundo trabajan contrarreloj para mitigar el efecto de una de las peores vulnerabilidades jams descubiertas. Bautizada como Log4Shell, se trata de un fallo en la librera Log4J, un mdulo que utilizan todo tipo de programas y servicios en una amplia variedad de entornos.

Log4J es lo que se conoce como una herramienta de registro, una utilidad para crear un archivo en el que quede constancia de las diferentes rutinas e instrucciones que utiliza una aplicacin durante su ejecucin. En caso de fallo, permite saber dnde ha surgido el problema.

Es un software de cdigo abierto desarrollado en Java por la Apache Software Foundation, y est implementada en muchsimos programas y servicios que usamos a diario en la red, desde la infraestructura de iCloud hasta la tienda de juegos Steam, pasando por juegos como Minecraft o muchos proyectos de software libre que a su vez forman parte de herramientas ms complejas.

El fallo es especialmente preocupante por la facilidad con la que permite ejecutar cdigo no autorizado en el sistema atacado. Un atacante solo necesita que el sistema ingrese una cadena de cdigo dentro de los eventos registrados por Log4J para poder instalar malware o lanzar otros ataques.

Estas cadenas se pueden introducir de muchsimas formas en apariencia inofensivas, como el texto de un correo electrnico, lo que hace a esta vulnerabilidad particularmente peligrosa. El director de la Agencia de Ciberseguridad y Seguridad de Infraestructuras estadounidense (CISA), Jen Easterly, la ha calificado de hecho como «una de las ms serias, si no la ms seria, de todas las que he visto en mi carrera».

El fallo se hizo pblico por primera vez el pasado jueves y existe ya un parche para solucionarlo, pero dada la enorme cantidad de aplicaciones y servicios que utilizan Log4J es probable que muchos equipos permanezcan vulnerables durante meses o incluso aos.

La situacin preocupa sobre todo en el sector empresarial, ya que muchas aplicaciones creadas a medida para grandes y medianas empresas hacen uso de Log4J como herramienta de registro, y estas empresas no siempre cuentan con los recursos o tienen la flexibilidad para implementar rpidamente los cambios necesarios para protegerse.

En muchos casos puede que ni siquiera sean conscientes de que utilizan esta herramienta, ya que se trata de un pequeo mdulo destinado a una tarea muy especfica que a menudo est implementado dentro de

las diferentes piezas que componen una aplicacin. Preocupan, sobre todo, las herramientas y programas creados para empresas y organizaciones en sectores crticos, como finanzas o energa.

Varias agencias de seguridad y empresas como Cisco o Cloudflare han detectado ataques que han utilizado esta vulnerabilidad como vector desde principios de diciembre, pero no se descarta que en algunos crculos se conociera incluso desde mucho antes. Un empleado de la empresa china Alibaba fue el primero en alertar del fallo a los programadores de la Apache Software Foundation a finales del mes de noviembre.

Desde la publicacin del fallo el pasado jueves, adems, el nmero de ataques se ha disparado en la red. Doce horas despus de hacerse pblica la vulnerabilidad, la empresa de software Check Point cifraba en 40.000 el nmero de ataques lanzados aprovechando Log4Shell. El lunes, la cifra se acercaba ya al milln.

Microsoft seala tambin que el tipo de atacante es cada vez ms diverso. Log4Shell se ha utilizado para instalar aplicaciones de minado de criptomonedas, para robar informacin o suplantar identidades dentro de un sistema. La empresa calcula que an hay cientos de millones de equipos vulnerables en todo el mundo.

Conforme a los criterios de

The Trust Project

Saber más



TE INTERESA>>  Bota de batería EV SES para cooperar con Honda · TechNode

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba