Cientos de millones de dispositivos afectados, ciberataques al 40% de las redes corporativas a nivel mundial, más de un centenar de intentos de ‘hackeo’ por minuto y la mayor parte de las grandes plataformas de Internet afectadas por la debacle: así es Log4Shell, el fallo de ciberseguridad que los expertos ya califican como la vulnerabilidad más crítica de la historia.
Y parece que lamentablemente tendremos problemas para rato, pues es posible que su impacto se siga notando durante años.
Vamos a empezar por el principio: ¿qué es Log4Shell? Se trata de una vulnerabilidad de seguridad en una biblioteca Apache ampliamente utilizada que está afectando a casi todos los servidores, plataformas y sistemas cibernéticos, provocando el más absoluto caos en Internet.
Técnicamente hablando, el error es una vulnerabilidad de ejecución remota de código de día cero, lo que significa que “permite a los atacantes descargar y ejecutar scripts en servidores específicos, dejándolos abiertos al control remoto completo”, escribieron los investigadores de la compañía de seguridad informática Bitdefender.
Su alcance se explica porque el programa afectado, Log4j de Apache, es una biblioteca de registro gratuita y de código abierto que utilizan muchas empresas. Los ingenieros implementan las bibliotecas de registro para registrar cómo se ejecutan los programas, permiten la auditoría de código y son un mecanismo de rutina para investigar errores y otros problemas de funcionalidad.
Dado que Log4j es gratuito y de gran confianza, las empresas grandes y pequeñas lo han estado empleando para todo tipo de cosas: se usa tanto por entidades privadas y comerciales como por gubernamentales y es un programa que registra detalles que van desde nombres de usuario y contraseñas hasta transacciones con tarjetas de crédito.
Aunque en el mundillo de la ciberseguridad se ha bautizado a esta vulnerabilidad como ‘Log4Shell’, ya que una explotación adecuada puede resultar en acceso de ‘shell’ -también llamado ‘acceso de código remoto’- al sistema de un servidor, su designación oficial es CVE-2021-44228 y tiene una calificación de gravedad de 10 en la escala Common Vulnerability Scoring System, que como tal vez hayas deducido es la peor que se puede obtener.
Su descubridor fue Chen Zhaojun, un miembro del equipo de seguridad en la nube de Alibaba, y el fallo se dio a conocer públicamente por primera vez el 9 de diciembre. Desde entonces, los expertos se han volcado para identificar aplicaciones vulnerables, detectar posibles ataques y mitigar las vulnerabilidades en la medida de lo posible.
Según Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad -CISA, por sus siglas en inglés- de Estados Unidos, es “uno de los más serios” que ha visto en “toda su carrera” y esperan que desgraciadamente la vulnerabilidad sea “ampliamente explotada”, afectando a “cientos de millones de dispositivos”, añade Jay Gazlay, de la oficina de gestión de la vulnerabilidad de CISA. En pocas palabras: el error Log4j de Apache es muy malo.
Por su parte, el Centro Nacional de Seguridad Cibernética del Reino Unido enfatizó que, por su naturaleza, “el software de código abierto se puede incorporar donde los desarrolladores lo deseen, lo que significa que cuando surge una vulnerabilidad importante, el código expuesto puede acechar en cada esquina”.
¿A quién afecta?
Como decimos, al ser gratuita y de código abierto esta biblioteca es ampliamente utilizada, por lo que la mayoría de las grandes plataformas de Internet han notado o van a notar los efectos de este desastre. Para ponerlo en claro y que se vea el alcance, hablamos de repercusión en gigantes como Apple, Amazon, IBM o Microsoft.
Otras grandes compañías todavía están investigando si han sido o no parte de esta brecha, entre ellas Blackberry, Huawei, Citrix, McAfee, Oracle o Dell.
Sin embargo, el problema va más allá de las tecnológicas, ya que “se trata de una vulnerabilidad transversal, que es independiente del proveedor y afecta tanto al software propietario como al de código abierto, dejando una amplia franja de industrias expuestas a la explotación remota, incluida la energía eléctrica, el agua, los alimentos y bebidas, la fabricación, el transporte y más”, explican los expertos.
Una lista de software afectado compilada por CISA, y restringida solo a plataformas de software empresarial, tiene más de 500 elementos en el momento de la publicación. Sin duda, una lista de todas las aplicaciones afectadas abarcaría muchos miles más.
¿Quién está explotando esta vulnerabilidad?
Te lo resumo rápido: todos los ‘malos’ de Internet, incluso después de que se haya lanzado un parche para la biblioteca afectada. Hordas de ciberdelincuentes ya han intentado o han conseguido explotar esta vulnerabilidad. El lado ‘positivo’ es que parece que la mayoría de los cibercriminales se enteraron del fallo a la vez que el resto del mundo, por lo que ya se estaban tomando medidas para solucionarlo.
La firma de ciberseguridad Check Point ha publicado un informe que muestra cómo el intento de ataques ha escalado desde que el problema se hiciera público: mientras que el 10 de diciembre ‘solo’ se observaron miles de estos intentos, el sábado 11 de diciembre ya se alcanzaron más de 40.000; un día después sus sensores registraron casi 200.000 intentos de ataque en todo el mundo y 72 horas después del brote inicial se superaban los 800.000.
“Desde que comenzamos a implementar nuestra protección, evitamos más de 2.800.000 intentos de asignar la vulnerabilidad, más del 46% de esos intentos fueron realizados por grupos maliciosos conocidos. Hasta ahora hemos visto un intento de explotación de más del 47% de las redes corporativas a nivel mundial”, añade la investigación de Check Point.
En cuanto al pronóstico, no son muy optimistas: “Esta vulnerabilidad, debido a la complejidad de parchearla y la facilidad para explotarla, parece que permanecerá con nosotros en los próximos años, a menos que las empresas y los servicios tomen medidas inmediatas para prevenir los ataques a sus productos mediante la implementación de una protección”.
Sean Gallagher, investigador principal de amenazas de Sophos, declara: “Con la excepción de la criptominería, estamos observando la calma que precede a la tormenta respecto a un aumento de la actividad maliciosa de la vulnerabilidad Log4Shell. Creemos que los atacantes probablemente estén acaparando todos los accesos que puedan conseguir ahora mismo en vistas de monetizarlos y/o aprovecharlos más adelante”.
De entre los tipos de ataque que están perpetrando los cibercriminales, el ransomware es el más extendido y una de las principales preocupaciones de los expertos en ciberseguridad, aunque también se han descrito otros exploits como instalación de bots o intentos de ‘hackeo’ en el sector de la minería de criptomonedas.
“Estamos viendo más de 1.000 intentos de exploits por segundo. Y las cargas útiles son cada vez más aterradoras”, tuiteó Matthew Prince, director ejecutivo de Cloudflare.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios