Carta de los Lectores

Fragilidad tecnológica

Fragilidad tecnológica

Por: Juan Matos

Los sistemas informáticos no son perfectos, tienen debilidades, que pueden ser aprovechadas por ciberdelincuentes para realizar acciones ilegitimas o lograr acceso no autorizado a un sistema informático, a estas debilidades, en seguridad cibernética se les conoce como vulnerabilidad.

Una vulnerabilidad podría permitir que un atacante deje sin operación un sistema, logre secuestrar, robar, destruir, modificar o incluso filtrar datos e informaciones importantes y confidenciales de una organización.

Log4Shell, es una nueva vulnerabilidad que podría afectar a cientos de millones de dispositivos en todo el mundo, se hizo pública desde el 9 de diciembre, aunque algunos reportes indican que su primera aparición fue el 1 de diciembre. Esta vulnerabilidad fue revelada por el equipo de seguridad en la nube de Alibaba y fue bautizada de manera oficial como CVE-2021-44228 (CVE es un identificador único que se le otorga a cada vulnerabilidad descubierta en el mundo), su nivel de impacto es 10, en una escala del 0 al 10, lo que le tipifica como una vulnerabilidad critica, en adición a esta, han sido descubierta en las últimas semanas otras debilidades en Apache Log4j, utilidad de logging basada en el lenguaje de programación Java, las vulnerabilidades relacionadas son las siguientes: CVE-2021-45046 [Crítico, 9.0], CVE-2021-4104 [Alto, 8.1], CVE-2021-42550 [Moderado, 6.6] y CVE-2021-45105  [Alto, 7.5].

Según la firma de seguridad Check Point, más del 50% de las organizaciones de gobierno, militares, financieras, Proveedores de servicios de Internet, Salud, Transporte actualmente están afectadas por la vulnerabilidad en Log4j.

Cualquier sistema y/o servicio que esté usando esta librería de logging de Java, Apache Log4j entre las versiones 2.0 y 2.16 puede ser vulnerable, esto incluye productos de grandes compañías de tecnología como Apple, Microsoft, Google, Cisco, Juniper, Fortinet, Palo Alto, NetApp, Cloudflare, Adobe, Apache, EMC, Dell, HPE, IBM, Lenovo, Red Hat, PureStorage, Schneider Electric, Siemens, Splunk, SolarWinds, VMware, Xerox, McAfee, Oracle, SolarWinds, SonicWall, Sophos, TrendMicro, Ubiquiti, Ubuntu y muchos otros.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos agregó a Log4Shell a su catálogo de vulnerabilidades explotadas conocidas basada en evidencias que confirman que ciberdelincuentes están aprovechándose activamente de esta vulnerabilidad.

El Nacional

La Voz de Todos