(Por Justin Dorfman) Se ha descubierto una grave vulnerabilidad de seguridad en una pieza de software de código abierto -ampliamente utilizada entre bastidores en Internet pero poco conocida por el ciudadano medio- que puede dar a los atacantes acceso a un tesoro de datos sensibles.
El incidente pone de manifiesto cómo una vulnerabilidad en un código de infraestructura, aparentemente sencillo, puede amenazar la seguridad de bancos, compañías tecnológicas, gobiernos y prácticamente cualquier otro tipo de organización.
Las compañías se apresuran a arreglar el problema, pero temen que éste plagará Internet durante años.
Suena a Log4Shell, el fallo hasta ahora desconocido de un programa omnipresente y gratuito que ha asustado a los expertos desde que salió a la luz la semana pasada, ¿verdad? Sí, pero también describe un episodio inquietantemente similar de 2014. ¿Te acuerdas de Heartbleed?
Heartbleed era un fallo en OpenSSL, la biblioteca de código abierto más popular para ejecutar los protocolos Transport Layer Security (TLS) y Secure Sockets Layer (SSL) utilizados en el cifrado de sitios web y software.
El fallo, que permitía a los piratas informáticos engañar a un servidor web vulnerable para que les enviara claves de cifrado y otra información confidencial, estaba relacionado con varios ataques, entre ellos uno a un gran operador de hospitales de Estados Unidos que provocó el robo de 4,5 millones de historiales médicos. Investigadores de Google y de la compañía de software Codemonicon descubrieron la vulnerabilidad de forma independiente y la comunicaron en abril de 2014.
Después de que Heartbleed saliera a la luz, el mundo se preguntó cómo los actores maliciosos fueron capaces de comprometer una pieza de software tan esencial para el funcionamiento seguro de Internet. Para muchos, el incidente también planteó dudas sobre la seguridad de todo el software de código abierto.
En diciembre de 2021, esas mismas preguntas han salido a la luz.
Al igual que OpenSSL, Log4j -el programa Java comprometido por el fallo Log4Shell- es una biblioteca de código abierto ampliamente utilizada y multiplataforma. Desarrollada y mantenida bajo los auspicios de la Fundación de Software Apache, formada por voluntarios, Log4j se despliega en los servidores para registrar las actividades de los usuarios de manera que puedan ser analizadas posteriormente por los equipos de seguridad o de desarrollo.
Los piratas informáticos podrían utilizar el fallo para acceder a información sensible en diversos dispositivos, realizar ataques de ransomware y tomar el control de máquinas para minar criptomonedas. La vulnerabilidad se descubrió casi por casualidad, cuando Microsoft anunció que había encontrado actividad sospechosa en Minecraft: Java Edition, un popular videojuego del que es propietario.
Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras del Departamento de Seguridad Nacional, declaró: «Para ser claros, esta vulnerabilidad supone un grave riesgo… Instamos a todas las organizaciones a que se unan a nosotros en este esfuerzo esencial y tomen medidas.»
Al igual que con Heartbleed, Log4Shell ilustra cómo la prevalencia del software de código abierto en las empresas de todo el mundo -programas como OpenSSL y Log4j y la multitud de código que depende de ellos en el desarrollo de software moderno- lo ha convertido cada vez más en un objetivo de ataque favorito.
Casi todas las organizaciones utilizan ahora alguna cantidad de código abierto, gracias a ventajas como el menor coste en comparación con el software propietario y la flexibilidad en un mundo cada vez más dominado por la computación en nube. El código abierto no va a desaparecer pronto, sino todo lo contrario, y los hackers lo saben.
En cuanto a lo que dice Log4Shell sobre la seguridad del código abierto, creo que plantea más preguntas que respuestas. En general, estoy de acuerdo en que el software de código abierto tiene ventajas en materia de seguridad debido a la gran cantidad de ojos vigilantes que hay detrás de él: todos los colaboradores de todo el mundo que están comprometidos con la calidad y la seguridad de un programa. Pero es justo plantear algunas preguntas:
¿Quién vigila la seguridad de programas fundamentales como Log4j? La Fundación Apache afirma que cuenta con más de 8.000 committers que colaboran en 350 proyectos e iniciativas, pero ¿cuántos se dedican a vigilar uno tan antiguo y quizá «aburrido» como Log4j?
¿Deberían las grandes compañías, además de Google, que siempre parece estar muy involucrada en estos asuntos, hacer más para apoyar la causa con personas y recursos?
Y, por último, ¿por qué parece que siempre hace falta que se revele una vulnerabilidad en un programa de código abierto para que el mundo se dé cuenta de lo crítico que es ese programa? ¿Está haciendo la industria lo suficiente para reconocer cuáles son esos paquetes de software y priorizar su seguridad?
Log4Shell, al igual que Heartbleed antes de él, demuestra que, aunque sólo sea por eso, hay que plantearse estas preguntas y responderlas.
Publicado en Venturebeat.com
