Los agujeros de seguridad son un problema casi diario en la sociedad digital. No obstante, hasta ahora muy pocos tuvieron un alcance comparable a “Log4Shell”, calificado como “crítico” por múltiples organismos de ciberseguridad a nivel mundial, incluidos el Instituto Nacional de Ciberseguridad (Incibe) y el Centro Criptológico Nacional (CCN-CERT) españoles. El motivo es que afecta a la librería de código abierto Apache Log4j, utilizada por millones de empresas y servicios digitales, a lo que se suma que puede ser explotado con extrema facilidad por ciberdelincuentes.
La función de Apache Log4j es elaborar un registro de las actividades que realizan las aplicaciones programadas en lenguaje Java. El agujero permite que un atacante inserte desde fuera líneas de código malicioso en ese registro, lo que abre la puerta a que el sistema ejecute virus, ransomware, se produzcan robos de datos o casi cualquier otro tipo de infección.
“Java es un lenguaje de programación con el que están creados muchos de los programas y aplicaciones usados en los ordenadores, páginas web, etc. por lo que millones de usuarios de cientos de servicios online podrían verse potencialmente afectados”, explica el Incibe.
Millones de usuarios de cientos de servicios online podrían verse potencialmente afectados
La vulnerabilidad es del tipo zero day, como se denomina a aquellas que acaban de ser descubiertas y han podido ser explotadas por ciberdelincuentes sin el conocimiento por parte de los desarrolladores de que su sistema estaba en riesgo. “Es una de las más graves que he visto en toda mi carrera, si no la que más”, ha reconocido Jay Gazlay, directora de la Agencia de Seguridad de Ciberseguridad e Infraestructura de EEUU. La Apache Software Foundation le otorga un nivel de riesgo de 10 sobre 10.
Los usuarios finales de programas y aplicaciones no pueden parchear la brecha, labor que corresponde a los desarrolladores de cada servicio digital. Como recuerdan los organismos de ciberseguridad, lo que sí cabe es extremar la atención a la hora de mantener todos los programas y aplicaciones actualizados a la última versión, en la que se incluirá el parche para Log4Shell.
El primer parche se publicó el viernes y provocó un fin de semana frenético en los equipos técnicos de empresas e instituciones de todo el mundo. Este martes se ha publicado una nueva actualización para mitigar el problema, debido a que este todavía podía ser explotado incluso tras instalar el primero. Sin embargo, la masiva implantación de Apache Log4j, utilizada desde hace más de una década, hace que los expertos teman que el agujero pueda ser peligroso durante bastante tiempo.
Debido a la facilidad de explotación y la amplitud de la aplicabilidad, no sería de extrañar que los actores de ransomware comenzarán a aprovechar esta vulnerabilidad de inmediato
“Se espera que se descubran un número cada vez mayor de productos vulnerables en las próximas semanas. Debido a la facilidad de explotación y la amplitud de la aplicabilidad, no sería de extrañar que los actores de ransomware comenzarán a aprovechar esta vulnerabilidad de inmediato”, ha avisado el CCN-CERT, encargado de la ciberseguridad de las instituciones públicas españolas.
La brecha Log4Shell fue descubierta por Chen Zhaojun, investigador de Alibaba Cloud Security Team. Un ejemplo de la facilidad de su explotación se ha dado en el sector de los videojuegos. Los servidores de Minecraft fueron hackeados con un simple mensaje de chat de sus jugadores, según reveló Marcus Hutchins, experto en seguridad informática.