El 'apocalipsis de Internet' que a nadie le importa

El 'apocalipsis de Internet' que a nadie le importa

«Log4j» no es conocido por nadie fuera de los círculos de desarrolladores. Y muchos de los que usan este código de computadora ni siquiera son conscientes de su vulnerabilidad. Para PC, teléfonos inteligentes, consolas de juegos y objetos habilitados para Internet en general, es uno de los programas más utilizados en el mundo con hasta mil millones de descargas por año. Debido a su gravedad, la vulnerabilidad Log4j recibió su propio nombre. Se llama “Log4Shell”.

Hace algunos 25 años, Ceki Gülcü, que ahora es dueño de su propia empresa de consultoría de software, escribió su tesis de maestría en criptografía en el laboratorio de investigación de IBM cerca de Zúrich en Suiza. Después de sus estudios, permaneció empleado en un equipo de IBM que se ocupaba de la seguridad de los datos.

El software que desarrolló escribe lo que sucede cuando usa el software y se creó la versión 1 de Log4j. Ceki Gülcü explicó la funcionalidad de Log4j usando el ejemplo de la caja negra en un avión, que registra las conversaciones de los pilotos, la velocidad, la altitud y todos los aspectos técnicos que están programados para monitorear y controlar el vuelo.

El software de Log4j es de código abierto, es decir, un software que se pone a disposición del público en general de forma gratuita. Dicho software tiene la reputación de ser generalmente seguro precisamente por su transparencia. Se supone que muchos ojos aseguran que los posibles problemas sean reconocidos y resueltos.

En 2000, el programa se entregó oficialmente a la fundación de código abierto Apache. Esta fundación sin ánimo de lucro está formada por desarrolladores y colaboradores voluntarios. En 2006, Ceki Gülcü abandonó el proyecto y desarrolló su propio software, como SLF4J o LogBack, que son muy conocidos y populares en la actualidad.

En 2012, la Fundación Apache inició una revisión completa bajo el nombre de Log4j Versión 2. Se introdujo una función especial: Log4j 2 analiza e interpreta programas externos antes de que su contenido se utilice más.

Y aquí es exactamente donde se descubrió la vulnerabilidad hace más de un mes: un atacante puede enviar un archivo especialmente diseñado que Log4j acepta falsamente. Esto significa que se puede ejecutar cualquier código de fuentes externas. Otra opción es simplemente congelar la computadora comprometida y luego exigir un rescate.

El descubrimiento de la vulnerabilidad se lee como un thriller. Fue Chen Zhaojun, miembro del equipo de Alibaba Cloud Security, quien descubrió la vulnerabilidad. Informó a la Fundación Apache y junto con ellos hizo pública la vulnerabilidad el 9 de diciembre 2021, dando tiempo suficiente a los desarrolladores para solucionar el problema. Después de una filtración en una plataforma de blogs china poco antes de la publicación, hubo discusiones sobre los detalles de la vulnerabilidad. Los hackers no se hicieron esperar: los primeros ataques se observaron en los primeros días después del descubrimiento.

Daño máximo

Se sabe que gigantes como la NASA, Twitter, Oracle y Apple utilizan programas en los que está presente la vulnerabilidad Log4j. Por ejemplo, iCloud, el servicio de almacenamiento en línea de Apple, podría haber sido pirateado a través de esta vulnerabilidad. En teoría, el pequeño helicóptero que la NASA envió a Marte también es vulnerable, ya que algunos de los programas utilizados para comunicarse con él desde la Tierra están basados ​​en Log4j. Las pequeñas y medianas empresas, las agencias gubernamentales e incluso las personas con servidores privados en el hogar también se ven afectadas, y pasará algún tiempo antes de que se conozca el alcance de la brecha.

Además, está claro que el Ministerio de Defensa belga fue la primera víctima conocida de un ataque Log4Shell. Se tomaron medidas de precaución espectaculares, por ejemplo en Canadá con el cierre preventivo de servidores gubernamentales o en Alemania con la gigante empresa Bosch, que también fabrica objetos conectados y admitió estar afectada, pero sin dar más detalles.

En realidad, esta vulnerabilidad puede haber sido descubierta y explotada por piratas informáticos mucho antes, sin que nadie se dé cuenta. Como recordatorio, la versión 2 se lanzó en 2012. Por lo tanto, no es imposible que los delincuentes hayan introducido de contrabando programas maliciosos en los sistemas informáticos. Para algunos actores, obtener acceso a información confidencial es más atractivo que recibir un pago por ello. Se teme que la primera ola de ataques fue solo un terremoto inicial antes de un tsunami de ataques más grandes.

¿Cómo debería ser un futuro digital?

El hecho es que ni la sociedad ni los gobiernos están preparados para la digitalización acelerada en la actualidad.

Antes de que los gobiernos continúen impulsando el voto electrónico y el intercambio automatizado de datos médicos, las sociedades deberían discutir el tipo de futuro que desean. Esto incluye una discusión pública sobre los aspectos legales, seguridad y protección de datos, infraestructura, código abierto, vigilancia, soberanía sobre nuestros datos, democracia, cultura, derechos de autor. Y, por supuesto, la censura también debe incluirse en las discusiones. Y la participación ciudadana es necesaria porque la transición nos concierne a todos, necesitamos urgentemente asumir la responsabilidad digital.

Este “apocalipsis informático” plantea la cuestión de la importancia de nuestro mundo digital. Se deben implementar planes de contingencia ya que las medidas técnicas por sí solas no son suficientes. Los países y las empresas deben prepararse para continuar trabajando en caso de una falla mayor en la red. Además, se debe planificar la infraestructura de comunicación de crisis.

Cada persona es responsable de la seguridad de su propio sistema informático y se asegura de conocer los conceptos básicos de la privacidad del hogar: todos los datos confidenciales deben mantenerse en un área separada de Internet. Cambie las contraseñas periódicamente, así como la contraseña de una WLAN e instale una contraseña en cualquier disco duro.