Expertos se apresuran para corregir falla grave de software
BOSTON (AP) — Una vulnerabilidad crítica en una herramienta de software muy utilizada —una de las peores vulnerabilidades descubiertas en años y que fue rápidamente explotada en el juego en línea Minecraft— se está convirtiendo en una amenaza importante para organizaciones en todo el mundo y los expertos en seguridad informática se apresuran para tratar de corregirla.
La falla está en una herramienta de código abierto empleada por gobiernos e industrias. Los ciberdelincuentes están aprovechándose de la falla y las consecuencias no se conocerán durante varios años, según los expertos.
“Internet está en llamas en este momento”, opinó el vicepresidente sénior de inteligencia en la firma de seguridad Crowdstrike, Adam Meyer. “La gente se está apresurando para encontrar un parche”, afirmó, “y todo tipo de personas se han apresurado a tratar de aprovechar” la vulnerabilidad.
En declaraciones hechas el viernes en la mañana, Meyer informó que 12 horas después de que se anunciara la existencia de la falla, ya fue “utilizada totalmente como arma”, lo que significa que los malhechores han desarrollado y distribuido medios para aprovecharla.
La falla podría ser la peor vulnerabilidad cibernética que se haya descubierto en años. Fue descubierta en una herramienta de código abierto para registrarse y que es omnipresente en servidores de nube y en el software usado en oficinas del gobierno y empresas. A menos de que se corrija, el problema permite a los ciberdelincuentes, espías y novatos en programación acceder fácilmente a redes internas donde pueden saquear información valiosa, sembrar malware, borrar información crucial y mucho más.
“Creo difícil pensar que haya compañías que no peligren”, dijo Joe Sullivan, director de seguridad de Cloudflare, cuya infraestructura en línea protege a los sitios web de actores maliciosos. Millones de servidores lo tienen instalado.
El director general de la firma de ciberseguridad Tenable, Amit Yoran, la describió como “la vulnerabilidad individual más grande y más crítica de la última década” y posiblemente la mayor en la historia moderna de la computación.
La vulnerabilidad, llamada ‘Log4Shell’, fue calificada con un 10 en una escala de uno al 10 por la Apache Software Foundation, que supervisa el desarrollo del software. Cualquiera que tenga el “exploit” puede acceder totalmente a una computadora sin parches que utilice el software.
Según los expertos, la extrema facilidad con que la vulnerabilidad permite a un intruso acceder a un servidor de la web —sin clave de acceso— es lo que la vuelve demasiado peligrosa.
El equipo de respuesta a emergencias informáticas de Nueva Zelanda estuvo entre los primeros en informar que la falla estaba siendo “aprovechada activamente en forma descontrolada” apenas horas después de que fuera anunciada públicamente el jueves y que se ofreciera un parche.
La vulnerabilidad, localizada en el software Apache de código abierto, empleado para ejecutar sitios web y otros servicios en internet, fue denunciado ante la fundación el 24 de noviembre por el gigante tecnológico chino Alibaba, agregó. Se necesitaron dos semanas para desarrollar una solución y ponerla disponible.
Sin embargo, parchar sistemas en el mundo podría ser una labor complicada. Aunque la mayoría de organizaciones y proveedores de servicios en la nube como Amazon deberían tener capacidad para actualizar fácilmente sus servidores para la web, el mismo software de Apache suele encontrarse en programas de terceras partes, que a menudo sólo pueden ser actualizados por sus propietarios.
Yoran, de Tenable, dijo que las organizaciones necesitan suponer que su seguridad ha estado comprometida y actuar con rapidez.
Los primeros indicios evidentes del aprovechamiento de la falla ocurrieron en Minecraft, un juego en internet muy popular entre los menores de edad y que es propiedad de Microsoft. La empresa dijo que había distribuido una actualización de software para los usuarios de Minecraft. “Los clientes que apliquen la corrección están protegidos”, aseguró.