Pero crisis como la de log4j<\/strong> se han convertido en la norma m\u00e1s que en la excepci\u00f3n durante los \u00faltimos a\u00f1os.
El a\u00f1o pasado comenz\u00f3 con el hackeo de SolarWinds, una operaci\u00f3n del gobierno ruso que comprometi\u00f3 montones de informaci\u00f3n sensible de agencias gubernamentales y empresas estadounidenses. El a\u00f1o tambi\u00e9n comenz\u00f3 con una serie de afirmaciones infundadas sobre el hackeo de las elecciones por parte del ex presidente Donald Trump y un impulso por parte de los funcionarios del gobierno para defender la credibilidad de las elecciones.<\/p>\n
![\"Jen](\"https:\/\/ctpatcertificacion.com\/wp-content\/uploads\/2022\/02\/imrs.jpeg\")
<\/p>\n
Jen Easterly, director of the Cybersecurity and Infrastructure Security Agency. (Kevin Dietsch\/Getty Images)<\/p>\n
\n
El panorama general<\/strong><\/h2>\nLas amenazas digitales de todo tipo crecen mucho m\u00e1s r\u00e1pido que la capacidad para defenderse de ellas. Si el pasado es un pr\u00f3logo, 2022 ser\u00e1 probablemente un a\u00f1o de grandes hackeos, grandes amenazas y muchas m\u00e1s crisis.
\u00abSiempre estamos en crisis\u00bb, me dijo Jake Williams, antiguo operador cibern\u00e9tico de la Agencia de Seguridad Nacional (NSA) y fundador de la empresa Rendition Infosec. \u00abCualquiera que busque la calma en lugar de la tormenta en el ciberespacio est\u00e1 en el campo equivocado\u00bb.<\/p>\n
\nRespuesta r\u00e1pida<\/h2>\n
Hubo algunas buenas noticias en lo que respecta a log4j.<\/strong>
Los organismos gubernamentales y las grandes empresas tecnol\u00f3gicas actuaron r\u00e1pidamente para contrarrestar los peores da\u00f1os.
El Departamento de Seguridad Nacional (DHS) emiti\u00f3 una directiva de emergencia el 17 de diciembre, apenas unos d\u00edas despu\u00e9s de que se descubriera el fallo, exigiendo a todas las agencias gubernamentales civiles que se protegieran contra \u00e9l antes del 23 de diciembre. Se trata de un cambio importante con respecto a hace unos a\u00f1os, cuando habr\u00eda sido pr\u00e1cticamente imposible que el gobierno aplicara una soluci\u00f3n tan importante con tan poco tiempo de antelaci\u00f3n.
Cuando en 2014 se descubrieron dos importantes fallos conocidos como Shellshock y Heartbleed, el DHS inst\u00f3 a las agencias federales a que examinaran sus sistemas inform\u00e1ticos en busca de las vulnerabilidades y se protegieran contra ellas. Pero la principal agencia de ciberseguridad del departamento ten\u00eda mucha menos visibilidad de los sistemas inform\u00e1ticos de otras agencias y ninguna autoridad para ordenar que implementaran ninguna protecci\u00f3n cibern\u00e9tica.
El sector privado tambi\u00e9n actu\u00f3 mucho m\u00e1s r\u00e1pido que en a\u00f1os anteriores para proteger sus sistemas inform\u00e1ticos contra log4j.<\/strong>
\u00abEs mejor que en el espacio comercial\u00bb, me dijo Williams. \u00abNo est\u00e1 solucionado ni mucho menos. Pero estamos haciendo un simulacro de incendio tras otro. A estas alturas estamos acostumbrados a hacer simulacros de incendio\u00bb.
Pero a\u00fan as\u00ed , Ya se han producido muchos da\u00f1os.
– Los piratas inform\u00e1ticos penetraron en el Ministerio de Defensa de B\u00e9lgica utilizando el fallo log4j.
– Un grupo de piratas inform\u00e1ticos chinos utiliz\u00f3 el fallo para ir tras al menos una gran instituci\u00f3n acad\u00e9mica, seg\u00fan inform\u00f3 la empresa cibern\u00e9tica CrowdStrike.
– El fallo fue explotado por numerosas bandas de hackers de ransomware, incluida una que atac\u00f3 una plataforma de criptomonedas vietnamita y exigi\u00f3 un pago de 5 millones de d\u00f3lares. Otros hackers utilizaron el fallo para robar potencia de c\u00e1lculo para minar criptodivisas.
Log4j<\/strong> es especialmente peligroso porque afecta a una pieza de c\u00f3digo de software incre\u00edblemente com\u00fan. Ese c\u00f3digo ayuda a los sistemas de software a mantener registros de actividades pasadas.
As\u00ed es como lo describen mis colegas Tatum Hunter y Gerrit De Vynck \u00abLos piratas inform\u00e1ticos que intentan entrar en los espacios digitales para robar informaci\u00f3n o plantar software malicioso tienen de repente una nueva y enorme oportunidad para intentar entrar en casi cualquier lugar que deseen. Eso no significa que todo vaya a ser hackeado, pero acaba de hacerse mucho m\u00e1s f\u00e1cil hacerlo, como si las cerraduras de la mitad de las casas y negocios de una ciudad dejaran de funcionar de repente y de golpe\u00bb.
La mayor\u00eda de los sistemas inform\u00e1ticos vulnerables de las organizaciones m\u00e1s importantes que dan a la Internet p\u00fablica probablemente hayan sido parcheados en este momento, estim\u00f3 Williams. Los que no est\u00e1n parcheados han sido penetrados casi con toda seguridad por piratas inform\u00e1ticos que buscan robar datos, robar potencia de c\u00e1lculo para minar criptomonedas o para otros fines nefastos.
Sin embargo, el c\u00f3digo log4j es tan omnipresente que es probable que est\u00e9 incrustado en muchos miles de sistemas inform\u00e1ticos que funcionan internamente en las empresas y en los que los trabajadores t\u00e9cnicos de las mismas no tienen ni idea de que est\u00e1 ah\u00ed ni de c\u00f3mo encontrarlo. Esto significa que los hackers probablemente seguir\u00e1n explotando el fallo durante muchos a\u00f1os.<\/p>\n
\u00abSiempre estamos en crisis\u00bb, me dijo Jake Williams, antiguo operador cibern\u00e9tico de la Agencia de Seguridad Nacional (NSA) y fundador de la empresa Rendition Infosec. \u00abCualquiera que busque la calma en lugar de la tormenta en el ciberespacio est\u00e1 en el campo equivocado\u00bb.<\/p>\n
Los organismos gubernamentales y las grandes empresas tecnol\u00f3gicas actuaron r\u00e1pidamente para contrarrestar los peores da\u00f1os.
El Departamento de Seguridad Nacional (DHS) emiti\u00f3 una directiva de emergencia el 17 de diciembre, apenas unos d\u00edas despu\u00e9s de que se descubriera el fallo, exigiendo a todas las agencias gubernamentales civiles que se protegieran contra \u00e9l antes del 23 de diciembre. Se trata de un cambio importante con respecto a hace unos a\u00f1os, cuando habr\u00eda sido pr\u00e1cticamente imposible que el gobierno aplicara una soluci\u00f3n tan importante con tan poco tiempo de antelaci\u00f3n.
Cuando en 2014 se descubrieron dos importantes fallos conocidos como Shellshock y Heartbleed, el DHS inst\u00f3 a las agencias federales a que examinaran sus sistemas inform\u00e1ticos en busca de las vulnerabilidades y se protegieran contra ellas. Pero la principal agencia de ciberseguridad del departamento ten\u00eda mucha menos visibilidad de los sistemas inform\u00e1ticos de otras agencias y ninguna autoridad para ordenar que implementaran ninguna protecci\u00f3n cibern\u00e9tica.
El sector privado tambi\u00e9n actu\u00f3 mucho m\u00e1s r\u00e1pido que en a\u00f1os anteriores para proteger sus sistemas inform\u00e1ticos contra log4j.<\/strong>
\u00abEs mejor que en el espacio comercial\u00bb, me dijo Williams. \u00abNo est\u00e1 solucionado ni mucho menos. Pero estamos haciendo un simulacro de incendio tras otro. A estas alturas estamos acostumbrados a hacer simulacros de incendio\u00bb.
Pero a\u00fan as\u00ed , Ya se han producido muchos da\u00f1os.
– Los piratas inform\u00e1ticos penetraron en el Ministerio de Defensa de B\u00e9lgica utilizando el fallo log4j.
– Un grupo de piratas inform\u00e1ticos chinos utiliz\u00f3 el fallo para ir tras al menos una gran instituci\u00f3n acad\u00e9mica, seg\u00fan inform\u00f3 la empresa cibern\u00e9tica CrowdStrike.
– El fallo fue explotado por numerosas bandas de hackers de ransomware, incluida una que atac\u00f3 una plataforma de criptomonedas vietnamita y exigi\u00f3 un pago de 5 millones de d\u00f3lares. Otros hackers utilizaron el fallo para robar potencia de c\u00e1lculo para minar criptodivisas.
Log4j<\/strong> es especialmente peligroso porque afecta a una pieza de c\u00f3digo de software incre\u00edblemente com\u00fan. Ese c\u00f3digo ayuda a los sistemas de software a mantener registros de actividades pasadas.
As\u00ed es como lo describen mis colegas Tatum Hunter y Gerrit De Vynck \u00abLos piratas inform\u00e1ticos que intentan entrar en los espacios digitales para robar informaci\u00f3n o plantar software malicioso tienen de repente una nueva y enorme oportunidad para intentar entrar en casi cualquier lugar que deseen. Eso no significa que todo vaya a ser hackeado, pero acaba de hacerse mucho m\u00e1s f\u00e1cil hacerlo, como si las cerraduras de la mitad de las casas y negocios de una ciudad dejaran de funcionar de repente y de golpe\u00bb.
La mayor\u00eda de los sistemas inform\u00e1ticos vulnerables de las organizaciones m\u00e1s importantes que dan a la Internet p\u00fablica probablemente hayan sido parcheados en este momento, estim\u00f3 Williams. Los que no est\u00e1n parcheados han sido penetrados casi con toda seguridad por piratas inform\u00e1ticos que buscan robar datos, robar potencia de c\u00e1lculo para minar criptomonedas o para otros fines nefastos.
Sin embargo, el c\u00f3digo log4j es tan omnipresente que es probable que est\u00e9 incrustado en muchos miles de sistemas inform\u00e1ticos que funcionan internamente en las empresas y en los que los trabajadores t\u00e9cnicos de las mismas no tienen ni idea de que est\u00e1 ah\u00ed ni de c\u00f3mo encontrarlo. Esto significa que los hackers probablemente seguir\u00e1n explotando el fallo durante muchos a\u00f1os.<\/p>\n
![\"\"](\"https:\/\/ctpatcertificacion.com\/wp-content\/uploads\/2021\/07\/cropped-CTPAT-Logo-2017-2-3-e1551751667116.png\"){kind=logo}
<\/figure><\/div>","protected":false},"excerpt":{"rendered":"