La directora de CISA, Jen Easterly, dice que la falla de seguridad de Log4j es la peor que ha visto en su carrera.
Getty
Los profesionales de la seguridad se enfrentarán a las consecuencias del error Log4j durante mucho tiempo, dijeron el lunes altos funcionarios de la Agencia de Seguridad de Infraestructura y Ciberseguridad.
Si se deja sin parchear o sin corregir, la principal falla de seguridad descubierta hace un mes en la biblioteca de registro de Java Apache Log4j plantea riesgos para grandes franjas de Internet. Los atacantes cibernéticos podrían explotar la vulnerabilidad en el software ampliamente utilizado para apoderarse de los servidores de las computadoras, lo que podría poner todo, desde la electrónica de consumo hasta los sistemas gubernamentales y corporativos, en riesgo de un ataque cibernético.
Ninguna agencia federal de EE. UU. se ha visto comprometida como resultado de la vulnerabilidad, dijo la directora de CISA, Jen Easterly, a los periodistas en una llamada el lunes. Además, no se han informado ciberataques importantes relacionados con el error en los EE. UU., aunque muchos ataques no se informan, dijo.
Easterly dijo que el alcance de la vulnerabilidad, que afecta a decenas de millones de dispositivos conectados a Internet, la convierte en la peor que ha visto en su carrera. Es posible, dijo, que los atacantes estén esperando su momento, esperando que las empresas y otros bajen sus defensas antes de atacar.
«Esperamos que Log4Shell se use en intrusiones en el futuro», dijo Easterly, usando el nombre del error en el software Log4j. Ella notó la Violación de datos de Equifax en 2017, que comprometió la información personal de casi 150 millones de estadounidenses, se debió a una vulnerabilidad en el software de código abierto.
La mayoría de los intentos de explotar el error, hasta el momento, se han centrado en bajo nivel minería criptográfica o intentos de introducir dispositivos en redes de bots, ella dijo.
Uno de los primeros ataques conocidos usando la vulnerabilidad involucró el juego de computadora Minecraft. Los atacantes pudieron apoderarse de uno de los servidores del juego de construcción del mundo antes de que Microsoft, propietaria de Minecraft, solucionara el problema.
Ha habido grandes ataques en otros lugares. El pasado mes pasado, el Ministerio de Defensa belga confirmado en sus sistemas había sido violado como resultado del error.