¿Qué es log4j? ¿Por qué es la mayor vulnerabilidad informática de todos los tiempos? ¿Qué podemos hacer para evitarla?

El pasado 9 de diciembre, la noticia de un error informático recién descubierto en un código informático enormemente popular comenzó a propagarse por la comunidad de ciberseguridad. Al día siguiente, casi todas las principales empresas de software estaban en “modo crisis”, tratando de averiguar cómo se vieron afectados sus productos y cómo podrían reparar el problema. Las reacciones de los expertos en seguridad frente a esta nueva vulnerabilidad en una librería de código abierto extremadamente común llamada log4j no tardaron en llegar: “La vulnerabilidad log4j es la más grave que he visto en todos mis años de carrera”, dijo Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, en una entrevista concedida el pasado jueves al canal de televisión estadounidense CNBC.

Los informes difieren cuando se trata de quién dio la alarma por primera vez sobre dicho problema. Algunas personas dicen que surgió en un foro dedicado al videojuego “Minecraft”. Otros señalan a un investigador de seguridad de la empresa de tecnología china “Alibaba”. En lo que están todos de acuerdo es que es la mayor vulnerabilidad de software de todos los tiempos en términos de la cantidad de servicios, sitios y dispositivos expuestos.

¿Qué es log4j?

Log4j es una biblioteca de código abierto desarrollada en Java por la Apache Software Foundation que ayuda a las aplicaciones de software a realizar un seguimiento de sus actividades pasadas. En lugar de reinventar un componente de “registro” cada vez que los desarrolladores crean un nuevo software, a menudo utilizan código existente como log4j. Ya que cuando se le pide a log4j que registre algo nuevo, intenta darle sentido a esa nueva entrada y agregarla al registro. “Esta herramienta es ampliamente utilizada y aparece en una gran parte de los servicios de Internet”, explica Asaf Ashkenazi, director de operaciones de la empresa de seguridad Verimatrix.

¿Por qué es la mayor vulnerabilidad de software?

Hace unas semanas, la comunidad de ciberseguridad se dio cuenta de que con solo pedirle al programa que registrara una línea de código malicioso, ejecutaría ese código en el proceso, lo que permitiría a los ciberdelincuentes tomar el control de los servidores que ejecutan este código de una manera muy sencilla.

El hecho de que log4j sea una pieza de software tan comúnmente utilizada es lo que hace que esto sea tan importante. Log4j es parte del lenguaje de programación Java y es una de las formas fundamentales en que se ha escrito el software desde mediados de los noventa. Tanto es así que empresas de almacenamiento en la nube como Google, Amazon y Microsoft, que proporcionan la columna vertebral digital para millones de otras aplicaciones, se han visto afectadas. También lo han sido otros gigantes de la informática como IBM, Oracle y Salesforce, además de miles de dispositivos que se conectan a Internet, como televisores y cámaras de seguridad.

Gracias a esta vulnerabilidad de muy fácil acceso que llevan utilizando desde el “día cero”, (en el videojuego de Minecraft es tan fácil como escribir una línea de código malicioso en el cuadro de chat público durante el juego), los piratas informáticos que intentan irrumpir en espacios digitales para robar información o plantar software malicioso tienen una nueva oportunidad para intentar ingresar a casi cualquier lugar que deseen. Eso no significa que todo será pirateado, pero es mucho más fácil hacerlo.

Los programadores informáticos y los expertos en seguridad han estado trabajando día y noche desde que se dio a conocer la vulnerabilidad para corregirla en cualquier pieza de software de la que sean responsables. “Más de 500 ingenieros han estado revisando montones y montones de código para asegurarse de que es seguro”, relató un empleado de Google. Ese proceso se esta repitiendo en todo tipo de empresas de tecnología, “algunas personas no han dormido en varios días, o duermen como tres o cuatro horas y se despiertan de nuevo”, dijo Ashkenazi, a lo que añadió: “Trabajábamos las veinticuatro horas del día. Es una pesadilla desde que salió“. Asimismo, conseguir que toda una industria actualice rápidamente un software específico es casi imposible. Muchas empresas no terminarán haciéndolo o pensarán que no se ven afectadas cuando en realidad sí lo están. Eso significa que log4j podría ser un grave problema que se extenderá varios años.

¿Qué podemos hacer los usuarios?

Para aprovechar la vulnerabilidad, los piratas informáticos deben entregar código malicioso a un servicio que ejecuta log4j. Los correos electrónicos de suplantación de identidad son una forma de hacerlo. Si recibe un correo electrónico que dice que su cuenta ha sido comprometida o que su paquete no se pudo entregar, no abra ningún vínculo ni archivo adjunto. En primer lugar, asegúrese de tener una cuenta con esa empresa o de estar esperando un correo de ese proveedor. Y si fuera ese el caso, busque un número o dirección de atención al cliente y comuníquese de esa manera.

“Lo mejor que pueden hacer los usuarios habituales de computadoras es asegurarse de que las aplicaciones que usan estén actualizadas a sus versiones más recientes”, dijo Malik. Según los expertos los desarrolladores enviarán parches en los próximos días para solucionar cualquier problema de log4j y será importante descargarlos rápidamente.