Log4Shell: entiende en qué consiste el conjunto de vulnerabilidades que ha sacudido al mundo
"Apocalipsis": fue con esta poderosa palabra que muchos expertos en ciberseguridad describieron el descubrimiento de Log4Shell, un conjunto de vulnerabilidades que han mantenido en vilo a los profesionales del sector desde diciembre de 2021. La referencia al apocalipsis puede parecer una exageración, pero basta con comprender la gravedad del problema para entender por qué es adecuada: en efecto, hablamos de errores que pueden afectar gran parte de internet y causar estragos gigantes en computadoras corporativas, servidores y aplicaciones.
El nombre Log4Shell, en realidad, se usó primero para describir una brecha única encontrada por investigadores de la compañía china Alibaba y anunciada al mundo el 9 de diciembre. La vulnerabilidad en cuestión se encontraba en Log4j, una biblioteca de código abierto muy famosa mantenida por la Fundación Apache y utilizada para registrar logs de actividades en aplicaciones Java. Sin embargo, tras el descubrimiento del error original (CVE-2021-44228), se detectaron varios similares.
Dicho de la manera menos técnica posible, las vulnerabilidades de Log4Shell permiten que un atacante ejecute códigos arbitrarios en una aplicación vulnerable, ya que las ediciones afectadas de Log4j responden a las solicitudes sin realizar algunas verificaciones necesarias. Esta es una falla de ejecución remota de código (RCE). Todo esto hace posible robar datos confidenciales e incluso implementar malware en la máquina atacada. De hecho, la mayoría de los delincuentes se están aprovechando de la situación para instalar mineros de criptomonedas, configurar botnets y propagar ransomware.
No hay hacia dónde correr
Tú debes de estar pensando: "Está bien, pero ¿quién usa esa tal Log4j?". Es justamente ahí donde está el mayor problema: ¡prácticamente todos, aunque no lo sepan! Log4j existe desde hace años y es la biblioteca más utilizada en el mundo para registrar y almacenar logs en software Java. Es tan popular que está incluida en otras bibliotecas que muchos programadores emplean en sus proyectos sin ni siquiera saber que, tras los bastidores, está Log4j haciendo su trabajo. Esto explica la desesperación.
Log4Shell se identificó primero en el juego “Minecraft: Java Edition” y, rápidamente, la lista de servicios y aplicaciones afectadas se volvió gigantesca. El gobierno de EE. UU. estaba tan preocupado por la situación que creó una lista completa en GitHub de quiénes habían sido afectados y quiénes no por el conjunto de brechas.
A propósito, hablando de las respuestas del gobierno, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ordenó que todos los proveedores contratados por el gobierno corrigieran las fallas antes del 24 de diciembre de 2021, una solicitud que se cumplió de inmediato. “Es una de las [fallas] más graves que he visto en toda mi carrera, si no la más grave”, dijo Jen Easterly, actual directora de CISA. Québec, ciudad de Canadá, cerró casi 4 mil de sus sitios web como “medida preventiva”.
¿Cómo protegerse?
Aunque puede causar daño al usuario final, Log4Shell es una vulnerabilidad que depende más de los desarrolladores de una aplicación que del propio internauta. Al fin y al cabo, son ellos los que deben actualizar la biblioteca a la última versión, libre de errores. Por supuesto, una vez hecho esto, es crucial que el consumidor también descargue las actualizaciones apropiadas que se le ofrecen.