Una falla de seguridad cibernética recién descubierta está afectando a grandes extensiones de Internet, desde Google y Amazon hasta los sistemas utilizados para administrar los ejércitos y hospitales, y el principal funcionario de seguridad cibernética de Seguridad Nacional de EE. UU. Lo calificó como la vulnerabilidad más grave en décadas.
La falla está presente en un software popular llamado Log4j, que es parte del omnipresente lenguaje de programación Java. Millones de sitios web y aplicaciones utilizan Log4j, y la falla del software permite a los piratas informáticos tomar el control de los sistemas escribiendo una simple línea de código, según los expertos en ciberseguridad.
«La vulnerabilidad log4j es la vulnerabilidad más grave que he visto en mis décadas de carrera», dijo Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. dijo el jueves en CNBC.
La mayoría de los intentos de piratería utilizando Log4j hasta ahora han involucrado a atacantes que intentaron instalar software de “minería” de criptomonedas en las computadoras de las víctimas. Sin embargo, un grupo de piratería iraní llamado «Charming Kitten» también ha intentado utilizar la vulnerabilidad para violar agencias gubernamentales y empresas en Israel. según la empresa de ciberseguridad Check Point.
La falla de Log4j es más grave que otras fallas de ciberseguridad debido a su «ubicuidad, simplicidad y complejidad», según Easterly.
“Es una pieza de software, de código abierto, que se encuentra en millones de dispositivos, desde videojuegos hasta equipos hospitalarios, sistemas de control industrial y servicios en la nube”, dijo el funcionario de ciberseguridad.
«Es trivial de explotar», agregó. «Y se necesita un esfuerzo muy concentrado para poder encontrar y corregir la vulnerabilidad».
Si bien es poco lo que los usuarios individuales de Internet pueden hacer para protegerse, tanto las agencias gubernamentales como las empresas de tecnología están luchando para corregir la vulnerabilidad.
La Agencia de Seguridad de Infraestructura y Ciberseguridad publicó un directiva de emergencia el viernes instando a todas las agencias gubernamentales a “parchear” inmediatamente los sistemas informáticos para solucionar la falla de Log4j.
Mientras tanto, Google tiene más de 500 ingenieros que revisan el código de la empresa para asegurarse de que sea seguro. el Washington Post informó.
Asaf Ashkenazi, director de operaciones de la empresa de seguridad Verimatrix, dijo al periódico que los codificadores de las empresas de tecnología han estado registrando horas excesivas desde que el problema Log4j se hizo público por primera vez el 9 de diciembre.
«Algunas personas no vieron dormir durante mucho tiempo, o duermen como tres horas, cuatro horas y se despiertan», dijo Ashkenazi al Washington Post. “Trabajábamos las veinticuatro horas del día. Es una pesadilla desde que salió. Sigue siendo una pesadilla «.
Incluso el videojuego en línea Minecraft, propiedad de Microsoft, se ha visto afectado. Aparentemente, algunos piratas informáticos pudieron violar a las víctimas escribiendo una sola línea de código en el cuadro de chat del juego. según Wired. Microsoft dice que desde entonces ha solucionado el problema y está instando a los jugadores a actualizar su software de Minecraft.
El lunes, el Ministerio de Defensa de Bélgica se vio obligado a cerrar partes de su red informática después de que los piratas informáticos activaran la vulnerabilidad Log4j. el Wall Street Journal informó. El ministerio no proporcionó detalles sobre la violación.
