El fallo que ha puesto en jaque a todo internet dependía del tiempo libre de un voluntario
Log4Shell lleva días ocupando titulares en todo el mundo, pero la clave está en el origen de la brecha de seguridad: un código desarrollado por un voluntario en su tiempo libre que nadie se había molestado en auditar
Un empleado de la empresa de ciberseguridad Kaspersky trabaja en su sede en Moscú. (Reuters)
Por
Mario Escribano
Log4Shell lleva días ocupando titulares en todo el mundo. Es el nombre del fallo de seguridad que ha puesto en jaque a buena parte de internet y, aunque ya han salido un par de parches para tratar de mitigarlo, sus consecuencias aún son desconocidas. Una de las claves del asunto no está tanto en lo que ha ocurrido, sino en su origen: una librería de código abierto (Log4J) desarrollado por un voluntario. Su uso estaba muy extendido porque era útil y sencillo y, como era tan conocido, se daba por hecho que había sido revisado por otros usuarios. La realidad ha demostrado ser todo lo contrario.
Ralph Goers es el nombre de este programador voluntario en GitHub, el repositorio en el que compartió su creación. En su perfil en la plataforma, se presenta como miembro de Apache Software Foundation y arquitecto de 'software' que trabaja a tiempo completo y dedica su tiempo libre a Log4J y otros proyectos de 'software' libre.
"Siempre he soñado con trabajar en el código abierto a tiempo completo y me encantaría que me apoyarais para poder hacerlo'', cuenta en su biografía. La semana pasada, cuando el fallo fue conocido por todos, tenía únicamente tres mecenas en GitHub. Al cierre de este artículo, ya ha superado el centenar de personas que le apoyan económicamente con aportaciones de entre cinco y 50 dólares al mes.
“De repente, parece que el mundo se viene abajo por una piececita de código que ha programado un señor en Estados Unidos. Todo el mundo la usa, pero nadie la había auditado convenientemente”, resume a Teknautas Sergio de los Santos, jefe de Innovación y Laboratorio de Telefónica Tech. Este especialista apunta a lo que él llama ‘el mito de los mil ojos’ en el mundo del 'software' libre. Es decir, que la popularidad no tiene por qué equivaler a las garantías de revisión. "Lo facilita, pero no lo asegura".
Todo esto también tiene un trasfondo. "Medio internet no puede depender del trabajo de un voluntario", enfatiza De los Santos, que se apresura a exculpar a Goers "porque lo hizo lo mejor que pudo". De hecho, apuesta por un mayor reconocimiento del trabajo de los programadores que comparten sus códigos de forma desinteresada. "Si no, se genera un entorno muy precario, donde se invierten muchos millones en una aplicación, pero no se audita una parte pequeña y fundamental", avisa.
De 3 a 93 sponsors en un fin de semana. Genial. Ahora lo ideal sería: ser capaces de adivinar el siguiente proyecto/librería infra-mantenido que va a sufrir una vulnerabilidad y que ya anda incrustado en productos de todo tipo de compañías o proyectos... Y apoyarlo desde ya. pic.twitter.com/D0ozqTSLod
La brecha se detectó el pasado 1 de diciembre, pero no se dio a conocer entre el gran público hasta el día 9. Algunas empresas han cifrado en más un millón el número de ataques producidos en este tiempo, pero otras son más cautas y prefieren no aventurarse a dar cifras, ya que depende del método con el que se calcule y, también, de que muchos de esos supuestos ataques en realidad sean pruebas hechas por investigadores o empresas.
El origen del problema está en la librería Log4J, que tiene una función tan básica como realizar los registros automáticos de cualquier web o aplicación programada con lenguaje Java. Por ejemplo, la hora y fecha exactas en las que una IP determinada ha consultado una página. La brecha detectada permite introducir ciertas modificaciones en este código. Una vez aplicadas, permiten hacerse con el control remoto de los servidores que usan esa librería. “A la hora de hacer el 'log', que viene a ser guardar el archivo, Log4j lo interpreta de una manera incorrecta y permite lanzar de repente comandos con servidor remoto”, detalla De los Santos.
Además de ser útil (y gratis), es fácil de implantar, por lo que Log4J es usada por millones de empresas. "Es algo que facilita mucho la vida en programación", comenta el especialista de TelefónicaTech. Eso se volvió en contra cuando se halló el fallo, que se ha hecho omnipresente, aunque los expertos avisan de que es pronto para saber la profundidad de estos errores. Por ahora, tanto Apache como los centros nacionales de ciberseguridad de todo el mundo lo han calificado de máximo riesgo, incluyendo los españoles Incibe y el Centro Criptográfico Nacional (CCN).
Otro punto clave es que este agujero de seguridad puede estar siendo explotado desde hace años. “Si en este tiempo se hubieran hecho ataques de forma masiva, habría sido detectado antes, pero los delincuentes suelen ser muy selectivos para que sea una bala que puedan usar durante mucho tiempo sin que se queme el cartucho”, explica a este diario Josep Albors, jefe de Investigación de ESET en España, que lo define como "una llave maestra para que hagan lo que quieran".
Una pantalla de ordenador muestra un mensaje tras ser infectado con 'ransomware'. (EFE/Rob Engelaar)
¿Y qué hacen quienes se aprovechan del fallo? Pues un poco de todo. Una de las principales actividades detectadas ha sido el minado de criptomonedas en remoto, pero también la creación de redes de 'bots', algo que puede servir para actividades tan dispares como cebar el tráfico de un sitio web o realizar ataques de denegación.
Otras prácticas detectadas han sido el secuestro de datos —conocido como 'ransomware'— o la instalación de programas maliciosos para dañar determinados sistemas. “Buscan sobre todo beneficio económico”, especifica Albors. Además, aunque Log4Shell afecta de una forma más directa a empresas y organizaciones, también puede acabar salpicando a los usuarios finales, a los que les pueden robar los datos personales que hay alojados en el servidor atacado.
Hay parche, pero esto va para largo
Hace unos días, Jen Easterly, directora de la Agencia de Ciberseguridad de EEUU (CISA), afirmó que lo ocurrido con Log4Shell era "uno de los fallos más graves" que había visto en su carrera, "sino el que más". Los expertos consideran que es aventurado hacer una afirmación de ese calibre, pero lo ponen en contexto, ya que seguramente tenga más que ver con alertar para que se tome en serio y la cosa no vaya a mayores.
De hecho, ya hay una solución que ha desarrollado el propio Ralph Goers, que el pasado viernes lanzó un segundo parche —había sacado uno más básico a principios de semana— para actualizar Log4J. "Ha cortado por lo sano, porque deshabilita por completo la posibilidad de que se pueda enviar esa cadena de código que aprovecha la vulnerabilidad", celebra Albors, que como el resto de especialistas señala algo fundamental: la clave está en actualizar para que sea efectivo.
"Si no indicas que es un riesgo real, las empresas lo dejan para luego y se olvidan", comenta Albors, que recuerda lo ocurrido con WannaCry, donde "había un parche que tenía tres meses, pero muchas empresas no lo habían actualizado". De hecho, también ha habido otras grandes brechas de naturaleza similar, como ShellShock y Heartbleed, que tuvieron lugar en 2014. "Todos tambalearon internet igual que Log4Shell porque son fallos gravísimos en 'software' ubicuo", agrega De los Santos.
Eso sí, nunca está claro que este parche vaya a ser el definitivo, ya que las fracturas pueden seguir apareciendo por otros lados, como ya ha pasado anteriormente. "Es una carrera contrarreloj. Los atacantes siempre están investigando para atacar", dice el experto de ElevenPaths, que subraya que “cada día se descubren nuevas vulnerabilidades y, aunque esta sea más grave, muchas otras son explotadas de forma masiva y aún no se han solucionado”. Es decir, el riesgo no se puede eliminar, pero sí hacer todo lo posible por minimizarlo.
Durante la última semana, las empresas de mayor calado ya han llevado a cabo las actualizaciones, algo que supone un nivel de protección mayor. “Los grandes sistemas estarán protegidos, pero eso no quita que vaya a haber un goteo en 'softwares' más pequeños o web medio abandonadas, por lo que va a ser un arma durante muchos años”, dice De los Santos, que considera que la clave para que Log4Shell no haya ido a más está, en parte, en el ruido que ha generado: "La luz y los taquígrafos matan la peligrosidad porque ahuyentan a los delincuentes. Lo malo es cuando solo lo saben unos pocos".
Log4Shell lleva días ocupando titulares en todo el mundo. Es el nombre del fallo de seguridad que ha puesto en jaque a buena parte de internet y, aunque ya han salido un par de parches para tratar de mitigarlo, sus consecuencias aún son desconocidas. Una de las claves del asunto no está tanto en lo que ha ocurrido, sino en su origen: una librería de código abierto (Log4J) desarrollado por un voluntario. Su uso estaba muy extendido porque era útil y sencillo y, como era tan conocido, se daba por hecho que había sido revisado por otros usuarios. La realidad ha demostrado ser todo lo contrario.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F947%2F5c4%2F016%2F9475c40167d724967cf199a48dd2a642.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F543%2F834%2F4ef%2F5438344efd6f05cd1c1d03b6e9f7b7a0.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fcb4%2Fe77%2Fbd3%2Fcb4e77bd32f028f910126cff877d9635.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fcb4%2Fe77%2Fbd3%2Fcb4e77bd32f028f910126cff877d9635.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F47c%2Fc48%2Ffb2%2F47cc48fb2cf48110de73dad1b6aeeef0.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F543%2F834%2F4ef%2F5438344efd6f05cd1c1d03b6e9f7b7a0.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F5a2%2F0aa%2F4a6%2F5a20aa4a6a24cfdd46df39a599797b3a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F327%2Fb78%2F112%2F327b781128949259accc47e37cf767ac.jpg)