El nuevo culpable es el fallo del software log4j, que el director de la Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA), Jen Easterly, calificó como «la vulnerabilidad más grave que he visto en mis décadas de carrera». Obligó a muchos profesionales de la ciberseguridad a trabajar durante las vacaciones para proteger los sistemas informáticos de las grandes empresas tecnológicas, las grandes y pequeñas empresas y las agencias gubernamentales.
Pero crisis como la de log4j se han convertido en la norma más que en la excepción durante los últimos años.
El año pasado comenzó con el hackeo de SolarWinds, una operación del gobierno ruso que comprometió montones de información sensible de agencias gubernamentales y empresas estadounidenses. El año también comenzó con una serie de afirmaciones infundadas sobre el hackeo de las elecciones por parte del ex presidente Donald Trump y un impulso por parte de los funcionarios del gobierno para defender la credibilidad de las elecciones.

Jen Easterly, director of the Cybersecurity and Infrastructure Security Agency. (Kevin Dietsch/Getty Images)

El panorama general

Las amenazas digitales de todo tipo crecen mucho más rápido que la capacidad para defenderse de ellas. Si el pasado es un prólogo, 2022 será probablemente un año de grandes hackeos, grandes amenazas y muchas más crisis.
«Siempre estamos en crisis», me dijo Jake Williams, antiguo operador cibernético de la Agencia de Seguridad Nacional (NSA) y fundador de la empresa Rendition Infosec. «Cualquiera que busque la calma en lugar de la tormenta en el ciberespacio está en el campo equivocado».

Respuesta rápida

Hubo algunas buenas noticias en lo que respecta a log4j.
Los organismos gubernamentales y las grandes empresas tecnológicas actuaron rápidamente para contrarrestar los peores daños.
El Departamento de Seguridad Nacional (DHS) emitió una directiva de emergencia el 17 de diciembre, apenas unos días después de que se descubriera el fallo, exigiendo a todas las agencias gubernamentales civiles que se protegieran contra él antes del 23 de diciembre. Se trata de un cambio importante con respecto a hace unos años, cuando habría sido prácticamente imposible que el gobierno aplicara una solución tan importante con tan poco tiempo de antelación.
Cuando en 2014 se descubrieron dos importantes fallos conocidos como Shellshock y Heartbleed, el DHS instó a las agencias federales a que examinaran sus sistemas informáticos en busca de las vulnerabilidades y se protegieran contra ellas. Pero la principal agencia de ciberseguridad del departamento tenía mucha menos visibilidad de los sistemas informáticos de otras agencias y ninguna autoridad para ordenar que implementaran ninguna protección cibernética.
El sector privado también actuó mucho más rápido que en años anteriores para proteger sus sistemas informáticos contra log4j.
«Es mejor que en el espacio comercial», me dijo Williams. «No está solucionado ni mucho menos. Pero estamos haciendo un simulacro de incendio tras otro. A estas alturas estamos acostumbrados a hacer simulacros de incendio».
Pero aún así , Ya se han producido muchos daños.
– Los piratas informáticos penetraron en el Ministerio de Defensa de Bélgica utilizando el fallo log4j.
– Un grupo de piratas informáticos chinos utilizó el fallo para ir tras al menos una gran institución académica, según informó la empresa cibernética CrowdStrike.
– El fallo fue explotado por numerosas bandas de hackers de ransomware, incluida una que atacó una plataforma de criptomonedas vietnamita y exigió un pago de 5 millones de dólares. Otros hackers utilizaron el fallo para robar potencia de cálculo para minar criptodivisas.
Log4j es especialmente peligroso porque afecta a una pieza de código de software increíblemente común. Ese código ayuda a los sistemas de software a mantener registros de actividades pasadas.
Así es como lo describen mis colegas Tatum Hunter y Gerrit De Vynck «Los piratas informáticos que intentan entrar en los espacios digitales para robar información o plantar software malicioso tienen de repente una nueva y enorme oportunidad para intentar entrar en casi cualquier lugar que deseen. Eso no significa que todo vaya a ser hackeado, pero acaba de hacerse mucho más fácil hacerlo, como si las cerraduras de la mitad de las casas y negocios de una ciudad dejaran de funcionar de repente y de golpe».
La mayoría de los sistemas informáticos vulnerables de las organizaciones más importantes que dan a la Internet pública probablemente hayan sido parcheados en este momento, estimó Williams. Los que no están parcheados han sido penetrados casi con toda seguridad por piratas informáticos que buscan robar datos, robar potencia de cálculo para minar criptomonedas o para otros fines nefastos.
Sin embargo, el código log4j es tan omnipresente que es probable que esté incrustado en muchos miles de sistemas informáticos que funcionan internamente en las empresas y en los que los trabajadores técnicos de las mismas no tienen ni idea de que está ahí ni de cómo encontrarlo. Esto significa que los hackers probablemente seguirán explotando el fallo durante muchos años.

El objetivo de la ciberseguridad es garantizar que cuando su computadora o correo electrónico sean pirateados, su información privada permanezca privada. … Si la información que se recopila puede usarse para representar una amenaza para su identidad,la empresa o sus clientes, así entonces puede usarse para cometer fraude y otros tipos de delitos.

Capacitación en Criterios Mínimos de Seguridad CTPAT

Request more information here