Preguntas y respuestas sobre la debilidad en el ‘software’ de Apache que ha puesto en jaque a empresas y expertos en ciberseguridad de todo el mundo

El pasado 24 de noviembre, el investigador Chen Zhaojun, de Alibaba Cloud Security Team, encontró una debilidad en Log4j, una popular herramienta del gigante del código abierto Apache que está presente en un sinnúmero de páginas web y aplicaciones. La vulnerabilidad, bautizada como Log4Shell, permite a un potencial cibercriminal ejecutar código en un equipo ajeno de forma remota. Entre los riesgos que pueden colarse por esta puerta entreabierta y hasta ahora desconocida están virus informáticos que permitan secuestrar datos o habilitar sistemas de espionaje, entre otros.

Según recoge Bloomberg, Zhaojun se apresuró a contactar con Apache, pero mantuvo en secreto su descubrimiento con la intención de dar margen de respuesta a sus desarrolladores. “Por favor, daos prisa”, escribió a los pocos días. La urgencia era pertinente. Log4Shell ha sido calificada como la vulnerabilidad más crítica de la última década, no tanto por su complejidad como por el hecho de que el uso de esta librería está tan extendido que es imposible determinar a cuántas entidades afecta. El problema es lo que se conoce como una vulnerabilidad de día cero ―zero day―, que identifica aquellas brechas de seguridad para las que todavía no se ha diseñado un parche. Cualquier sistema que incorporase Log4j antes de que empezasen a llegar las actualizaciones está expuesto.
El anuncio oficial de la existencia de Log4Shell, que llegó el 9 de diciembre, desató una carrera en sentidos opuestos: desde un extremo, empresas y administraciones de todo el mundo corrieron a asegurar sus sistemas; desde el otro, bandas de cibercriminales de la talla de Conti ―uno de los principales operadores de secuestros informáticos a nivel mundial―, se apresuraron a sacar tajada antes de que la situación estuviese controlada. La competición sigue en marcha.

Fuente: El País