Nunca nos paramos mucho a pensarlo, pero los servicios digitales que usamos cada día son básicamente código. Este código es el que hace que las máquinas hagan lo que tienen que hacer y, cuando está convenientemente ensamblado y empaquetado recibe el nombre común de software. Por supuesto, detrás del código y detrás del software hay personas -programadores- cuyo trabajo es escribir este código, actualizarlo, mejorarlo y, cuando se descubre alguna vulnerabilidad, parchearlo.
Los programadores escriben una parte de este código que sustenta nuestras vidas digitales desde cero, pero, como en toda actividad humana, hay muchas tareas que se repiten y, por lo tanto, no es necesario crear un nuevo código para ellas, sino que se echan mano de trozos de código estandarizado que se sabe que funciona y hace lo que tiene que hacer. Para qué inventar la rueda cada vez cuando podemos acudir a las librerías de código para resolver problemas cotidianos.
Hasta aquí todo bien. El problema viene cuando uno de estos trozos de código se hace muy popular y un buen día alguien descubre que tiene un fallo de seguridad muy grave. Esto es precisamente lo que ha pasado con la vulnerabilidad llamada log4j que ha puesto en jaque a prácticamente a todas las grandes plataformas tecnológicas del planeta.
Log4j es un trozo de código que ayuda a los programas de software a llevar un registro de cada una de las actividades que ejecuta. Es un recurso de uso muy extendido que se puede usar de manera gratuita y eso ha hecho que forme parte de la mayor parte de los grandes servicios que usamos por internet.
Hace unas pocas semanas, empezaron a surgir voces en el sector de la ciberseguridad que alertaban de que con solo pedirle a log4j que registrase una línea de código malicioso, este lo ejecutaría permitiendo, por ejemplo, a un hacker tomar el control de un servidor.
El uso tan difundido de log4j enseguida hizo saltar todas las alarmas. Escribir un parche de seguridad que resuelva la vulnerabilidad es fácil, pero encontrar todas las aplicaciones que usan este código y actualizarlas es tremendamente complicado.
La vulnerabilidad log4j tiene, por tanto, la capacidad potencial de crear graves problemas no sólo para las grandes redes que sustentan gran parte de internet como AWS o Microsoft sino para aparatos cotidianos del internet de las cosas como nuestro televisor o nuestra cámara de seguridad. Log4j es prácticamente omnipresente en el código que hay detrás de las principales aplicaciones que se usan en el mundo.
Esto no quiere decir que vaya a haber un hackeo masivo, pero la puerta de entrada está ahí.
El mensaje para los equipos de TI de las empresas es claro, hay que actualizar y parchear el código para evitar males mayores. Para el usuario de a pie, el mismo mensaje de siempre, mantengamos nuestros dispositivos permanentemente actualizados y usemos software original que tenga soporte técnico siempre.
Si de algo tenemos que estar seguros es de que mientras los “buenos” trabajan para resolver estos problemas, hay muchos “malos” por ahí fuera trabajando duro para aprovecharse de ellos. No les demos facilidades y estemos atentos para no dejar fisuras que puedan provocar nuevos casos de ransomware o brechas de seguridad.
