El Confidente
Por
El 'cisne negro' del que ninguna empresa española quiere hablar
Muy probablemente habrá visto titulares sobre Log4J, uno de los mayores fallos de ciberseguridad de los últimos años. Pero casi seguro no habrá visto empresas afectadas. ¿Por qué?
"Ayer estaba en un grupo de Telegram en el que están los 600 responsables de ciberseguridad más 'top' del país, y nadie decía nada, pero, por detrás, todo el mundo estaba corriendo como loco para solucionar la papeleta". Así describe un especialista en ciberseguridad que pide mantener el anonimato lo que en el mundillo ya se conoce como una vulnerabilidad 'cisne negro', es decir, un enorme fallo informático que nadie vio venir y que ha puesto patas arriba la seguridad de las empresas de forma inesperada. Eso es, tal cual, Log4J, el fallo del que ya habrá oído hablar, pero del que apenas se conocen detalles sobre quién lo ha sufrido. En España, miles de empresas.
El origen del problema estaba en una librería de código abierto conocida por ese mismo nombre, Log4J. Su función es tan básica como realizar los registros automáticos de cualquier web o aplicación programada con lenguaje Java.
Por ejemplo, cada vez que usted entraba en la página de su banco, esta detectaba el idioma con el que siempre accedía. Detectaba también la hora a la que suele entrar, entre las 7 y las 11 de la mañana, etc. Todas esas anotaciones se realizan usando Log4J. Un fallo en esos códigos permitía a un atacante externo colarse hasta la cocina de los servidores de su banco, su empresa de telecomunicaciones o cualquier compañía con la que interactúe, y tomar control de los servidores.
"Log4J está en todo, en todo. Es la típica chorrada de la que todo el mundo tira para solucionar una función sencilla y de la que nadie se imagina que puede dar lugar a semejante problema. Pero así ha sido. Y ahora impera la ley del silencio. Nadie reconoce haber estado afectado, pero casi todas las compañías lo han estado", señalan expertos en ciberseguridad.
¿Lo bueno? "El problema se ha solucionado al 90%. Las empresas han corrido a parchear y a evitar que fuera a más. Para cuando se ha corrido la voz y algunos ciberdelincuentes han querido explotar el fallo, ya era demasiado tarde". ¿Lo malo? Ha sido una vulnerabilidad muy crítica que ha afectado a mucha gente. Desde empresas del Ibex 35 a firmas medianas y pequeñas. Y, como siempre ocurre en estos casos, no ha habido ninguna transparencia al respecto. Según los expertos en ciberseguridad, esto es tal vez lo más preocupante de este episodio: no reconocer lo ocurrido es la prueba más clara de que algo muy parecido volverá a ocurrir.
"Ayer estaba en un grupo de Telegram en el que están los 600 responsables de ciberseguridad más 'top' del país, y nadie decía nada, pero, por detrás, todo el mundo estaba corriendo como loco para solucionar la papeleta". Así describe un especialista en ciberseguridad que pide mantener el anonimato lo que en el mundillo ya se conoce como una vulnerabilidad 'cisne negro', es decir, un enorme fallo informático que nadie vio venir y que ha puesto patas arriba la seguridad de las empresas de forma inesperada. Eso es, tal cual, Log4J, el fallo del que ya habrá oído hablar, pero del que apenas se conocen detalles sobre quién lo ha sufrido. En España, miles de empresas.