Una nueva vulneración, crítica y que trae de cabeza entre otros al INCIBE, ha puesto en solfa la seguridad de miles de aplicaciones, debido a que el bug se encuentra en una de las librerías de Java más utilizadas en desarrollo de aplicaciones
En la prehistoria de la computación, a los errores de programación se los llamaba bugs, un término que literalmente se puede traducir como insecto.
En los tiempos heroicos en los cuales los primitivos computadores estaban formados por transistores, además de buen tamaño, y también de válvulas de vació, literalmente podía ser una cucaracha la que estropease el aparato.
Ahora un nuevo bug, denominado Log4Shell, ha provocado un zafarrancho de combate en los cinco continentes entre las autoridades de seguridad informática, incluido el español Instituto Nacional de Ciberseguridad (INCIBE).
El agujero de seguridad ha sido calificado como «crítico», categoría si el alcance de la amenaza implica a elementos críticos para la seguridad de un país, en este caso hablamos de España.
Librerías de código
El agujero de seguridad se ha producido en la librería Apache Log4j, que es utilizada por miles de empresas y organismo públicos, lo que podría permitir que ciberdelincuentes se aprovechasen del bug para sus actividades criminales.
En esencia Apache Log4j lleva un registro de las actividades de aplicaciones que han sido programadas en lenguaje Java, un lenguaje de programación que es el segundo más utilizado a nivel mundial para desarrollar aplicaciones.
La vulnerabilidad permite que cualquier ciberdelincuente o pirata informático pueda introducir código malicioso en una aplicación, por lo que se podría programar la ejecución de cualquier tipo de virus informático.
Desde un ransomware a permitir robo de todo tipo de datos, Apache Log4j permite explotar la vulnerabilidad de un sistema para realizar cualquier actividad criminal, sea cual sea la misma.
Tipología Zero Day
Con ello los organismos de ciberseguridad informan que la vulnerabilidad se ha descubierto hace poco tiempo y que ha podido ser ya utilizada por grupos de ciberdelincuentes sin que muchas empresas y organismos públicos se hayan apercibido.
Desde la Agencia de Ciberseguridad e Infraestructura de EE. UU. se reporta que es una de las vulnerabilidades más graves con que se han encontrado en todos los años de existencia de esa organización federal.
De hecho, en su escala de gravedad de incidentes informáticos, que está formada por diez niveles, Apache Log4j ha sido calificada como de nivel 10.
La mayor peligrosidad es que los usuarios de las aplicaciones no pueden «parchear» la vulnerabilidad, sino que tienen que ser los programadores de cada aplicación los que realicen ese trabajo.
La industria contrataca
La primera recomendación que se ha hecho a los usuarios de aplicaciones es que tengan todas sus aplicaciones actualizadas a la última versión del programa.
Desde el pasado viernes 10 de diciembre se publicó el primer «parche», y ese mismo fin de semana ha sido frenético de trabajo de miles de empresas que manufacturan aplicaciones para poder lanzar sus «parches» lo antes posible.
Sin embargo, ha habido que esperar al martes 14 de diciembre para tener un «parche» que solucionase la vulnerabilidad, ya que con los primeros «parches» lanzados no daban una seguridad completa.
El peligro sigue existiendo, en tanto en cuanto que la librería Apache Log4j se lleva más de una década utilizando en el desarrollo de todo tipo de aplicaciones, por lo que el problema es mayúsculo.
Precisamente es esa utilización masiva y dilatada en el tiempo la que permite augurar que los ciberdelincuentes tienen miles de aplicaciones que pueden atacar, por mucho que la industria del software inicie una frenética carrera para parchear todo lo que se pueda.
El descubridor de la vulnerabilidad ha sido Chen Zhaojun, investigador de Alibaba Cloud Security Team, que ve el sector de los videojuegos como la principal víctima de los delincuentes informáticos.
De hecho, los servidores de Minecraft han sido hackeados utilizando como código malicioso simplemente unas cuantas líneas de la aplicación de mensajería que utilizan los jugadores de ese videojuego para comunicarse entre sí.
Los fraudes vuelven como cada Navidad
Estando en época navideña y con una sociedad como la española tan digitalizada, no es extraño que vuelvan las estafas por internet perpetradas por unos ciberdelincuentes que son conscientes de las muchas operaciones de comprar que se van a llevar a cabo en la red de redes.
De hecho, en lo que llevamos de mes de diciembre, en nuestro país ha aumentado un 208% los fraudes que se han llevado acabo en internet, la mayoría de los cuales tienen que ver con lo pagos que se realizan con tarjeta de crédito.
La empresa de ciberseguridad Kaspersky ha detectado que en solo dos meses – septiembre y octubre de 2021 – los ataques de phishing, suplantación de identidad, han pasado de 627.560 a 1.935.905.
El principal fraude consiste en crear clones de sitios web para hacerse de esa manera con los datos bancarios y/o de tarjeta de crédito de aquellos que creen que están comprando en un sitio web legítimo.
Una vez con esos datos, los ciberdelincuentes vacían las cuentas de los estafados o bien sacan dinero en cajeros utilizando los datos de la tarjeta de crédito hasta llegar a su límite.
También por correo electrónico
Es otra de las estafas preferidas de los ciberdelincuentes, sobre todo en lo que tiene que ver con la Navidad.
En esos correos electrónicos, que muchas veces reproducen el diseño corporativo de empresas muy consolidadas, se incluyen ofertas muy jugosas y con grandes descuentos de objetos de gran valor.
En esos correos electrónicos también se incluyen enlaces para iniciar el proceso de compra, encontrándose los compradores también con clones de los servicios de pago más habituales como VISA y MasterCard.
Una vez que el confiado comprador ha dado los datos de su tarjeta de crédito, los ciber cacos vacían la tarjeta de crédito hasta llegar a su límite, lo cual muchas veces supone un importante quebranto económico para el estafado.
Entre los sitios de comercio electrónico más clonados por los ciberdelincuentes se encuentran gigantes del comercio electrónico como Amazon, eBay o AliExpress.
Por lo que antes de ingresar en una de esas páginas hay que cerciorarse que se trata de la legítima y no de un sitio web fake.
Fuente – el diario / elEconomista
Imagen – Pete Beard / Ken Hawkins / Ged Carroll / Ciska Van Geer / Bryan Jones / Karmen M.
Hablemos de Tecnologías 