Editor Top
El logotipo del Departamento de Seguridad Nacional se ve durante una conferencia de prensa en Washington, el 25 de febrero de 2015. Un nuevo panel de seguridad cibernética creado por el presidente Joe Biden dice que una vulnerabilidad informática descubierta el año pasado en una pieza de software omnipresente es un problema «endémico» que planteará riesgos de seguridad durante potencialmente una década o más. La Junta de Revisión de Seguridad Cibernética dijo en un nuevo informe el jueves que, si bien no ha habido signos de ningún ataque cibernético importante debido a la falla de Log4j, aún «será explotado en los próximos años». La falla de Log4j se hizo pública por primera vez a fines del año pasado. Crédito: Foto AP/Pablo Martínez Monsivais, Archivo
Una vulnerabilidad informática descubierta el año pasado en una pieza de software omnipresente es un problema «endémico» que planteará riesgos de seguridad durante una década o más, según un nuevo panel de ciberseguridad creado por el presidente Joe Biden.
La Junta de Revisión de Seguridad Cibernética dijo en un informe el jueves que, si bien no ha habido señales de ningún ataque cibernético importante debido a la falla de Log4j, aún «será explotado en los próximos años».
«Log4j es una de las vulnerabilidades de software más graves de la historia», dijo a los periodistas el miércoles el presidente de la junta, el subsecretario del Departamento de Seguridad Nacional, Rob Silvers.
La falla de Log4j, que se hizo pública a fines del año pasado, permite a los atacantes basados en Internet tomar fácilmente el control de todo, desde los sistemas de control industrial hasta los servidores web y los productos electrónicos de consumo. Los primeros signos evidentes de la explotación de la falla aparecieron en Minecraft, un juego en línea muy popular propiedad de Microsoft.
El descubrimiento de la falla provocó advertencias urgentes por parte de los funcionarios gubernamentales y esfuerzos masivos por parte de los profesionales de ciberseguridad para parchear los sistemas vulnerables.
La junta dijo el jueves que «algo sorprendentemente» la explotación del error Log4j había ocurrido a niveles más bajos de lo que predijeron los expertos. La junta también dijo que no estaba al tanto de ningún ataque Log4j «significativo» en sistemas de infraestructura crítica, pero señaló que algunos ataques cibernéticos no se informan.
La junta dijo que es probable que los ataques futuros se deban en gran parte a que Log4j se integra rutinariamente con otro software y puede ser difícil para las organizaciones encontrarlo ejecutándose en sus sistemas.
«Este evento no ha terminado», dijo Silvers.
Log4j, escrito en el lenguaje de programación Java, registra la actividad del usuario en las computadoras. Desarrollado y mantenido por un puñado de voluntarios bajo los auspicios de la Apache Software Foundation de código abierto, es extremadamente popular entre los desarrolladores de software comercial.
Un investigador de seguridad del gigante tecnológico chino Alibaba notificó a la fundación el 24 de noviembre. Tomó dos semanas desarrollar y lanzar una solución. Los medios chinos informaron que el gobierno castigó a Alibaba por no informar la falla antes a los funcionarios estatales.
La junta dijo el jueves que encontró «elementos problemáticos» con la política del gobierno chino hacia la divulgación de vulnerabilidades, diciendo que podría dar a los piratas informáticos estatales chinos una visión temprana de las fallas informáticas que podrían usar para fines nefastos como robar secretos comerciales o espiar a los disidentes. El gobierno chino ha negado durante mucho tiempo haber actuado mal en el ciberespacio y le dijo a la junta que fomenta un mejor intercambio de información sobre las vulnerabilidades del software.
La junta ofreció una serie de recomendaciones para mitigar las consecuencias de la falla de Log4j y mejorar la ciberseguridad en general. Eso incluye la sugerencia de que las universidades y los colegios comunitarios hagan que la capacitación en seguridad cibernética sea una parte obligatoria de los programas de licenciatura y certificación en ciencias de la computación.
La Junta de Revisión de Seguridad Cibernética sigue el modelo de la Junta Nacional de Seguridad en el Transporte, que revisa los accidentes aéreos y otros accidentes importantes, y fue ordenada por una orden ejecutiva que Biden firmó en mayo pasado. La junta de 15 miembros está compuesta por el FBI, la Agencia de Seguridad Nacional y otros funcionarios gubernamentales, así como por personas del sector privado. Algunos partidarios de la nueva junta criticaron al DHS por tardar tanto en ponerlo en marcha.
La orden ejecutiva de Biden ordenó a la junta que realizara su primera revisión de la campaña masiva de ciberespionaje rusa conocida como SolarWinds. Los piratas informáticos rusos pudieron violar varias agencias federales, incluidas las cuentas pertenecientes a los principales funcionarios de seguridad cibernética en el DHS, aunque las consecuencias totales de esa campaña aún no están claras.
Silvers dijo que el DHS y la Casa Blanca acordaron que revisar la falla de Log4j era un mejor uso de la experiencia y el tiempo de la nueva junta.
DHS anuncia la creación de una nueva junta de revisión de ciberseguridad
© 2022 Prensa Asociada. Reservados todos los derechos. Este material no puede ser publicado, transmitido, reescrito o redistribuido sin permiso.
Citación: Falla de software Log4j ‘endémica’, dice el nuevo panel de seguridad cibernética (14 de julio de 2022) recuperado el 14 de julio de 2022 de https://techxplore.com/news/2022-07-log4j-software-flaw-endemic-cyber.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
