¿Por qué deberíamos preocuparnos por la vulnerabilidad digital log4j a nivel corporativo?

28 de Diciembre de 2021
Escribe Martín Hoz, Vicepresidente de Ingeniería de Fortinet para América Latina y Caribe

Si usted es un líder empresarial con poco conocimiento sobre las complejidades técnicas en torno a la ciberseguridad, es posible que se pregunte por qué el término "log4j" aparece de pronto en todas partes.

La transformación digital (DX) significa que casi todas las empresas cuentan con el respaldo de la tecnología en muchas áreas de la organización: recursos humanos, marketing, producción, operaciones, finanzas, servicio al cliente, etc. En un mundo hiperconectado, hay poco espacio para no ser digital y no estar en línea. Las organizaciones han gastado una gran cantidad de presupuesto en esfuerzos relacionados con DX porque significan transformación y evolución empresarial.

Parte de los objetivos de la ciberseguridad es mitigar el riesgo y garantizar la continuidad del negocio en un entorno digital. “El show debe continuar” siempre, para que los productos se sigan produciendo y enviando, los clientes reciban servicios y se facturen, y los empleados sigan siendo productivos y felices. Otro objetivo es la resiliencia: si por casualidad el negocio se interrumpe, debe restablecerse rápidamente con la menor cantidad de esfuerzo, impacto y costo.

Para lograr eso, la ciberseguridad debe ser amplia (implementada en todas partes, protegiendo todos los activos digitales), integrada (los componentes deben comunicarse entre sí y aprovechar las eficiencias al hacerlo) y automatizada (para que las respuestas requieran una interacción humana muy baja). Todo eso para brindar siempre visibilidad y garantizar que la infraestructura tecnológica que respalda el negocio funcione bien, y también evitar ser interrumpida por vulnerabilidades (fallas en la tecnología que los atacantes pueden usar para hacer que las computadoras hagan cosas que se supone no deben hacer).

¿Por qué Log4j es relevante para el negocio?


Hay muy pocos casos en los que una vulnerabilidad digital tiene un impacto tan severo que potencialmente puede hacer que se caigan los servicios de cualquier tipo y en todas partes. La vulnerabilidad etiquetada CVE-2021-44228 descubierta en una biblioteca de Java (un conjunto de código listo para ser utilizado, que ahorra tiempo de desarrollo) llamada Log4j, tiene este potencial.

Java es un lenguaje de programación y una plataforma que se creó con el objetivo de crear código (instrucciones para una computadora) una vez y luego ejecutar ese código en todas partes. El concepto tuvo éxito y hoy se estima que más de 15 mil millones de dispositivos ejecutan Java: computadoras portátiles, tabletas, teléfonos celulares, robots y electrodomésticos. Esto significa que la página web de la compañía, el sistema de facturación, la nómina, los robots en la línea de producción, entre otros, pueden verse potencialmente afectados.

La vulnerabilidad descubierta es relevante porque puede afectar a muchos dispositivos en el mundo, pero también porque no se requieren muchos conocimientos técnicos para aprovecharla y se puede utilizar de forma remota.

En otras palabras, una persona técnica promedio podría potencialmente hacer lo que quiera con cualquier dispositivo desde una ubicación distante: cambiar instrucciones, ejecutar programas no deseados, alterar registros electrónicos, lanzar ataques adicionales o cerrar servicios. Un atacante con mayores conocimientos podría automatizar los pasos y causar más daño. Un adversario hábil con más recursos (piense en el cibercrimen organizado) podría generar amenazas realmente dañinas con fines de lucro, como recopilar datos confidenciales de su organización y extorsionarlo (ciberextorsión) o mantener sus datos como rehenes y luego pedir un rescate (ransomware).

Aterrador, al menos inicialmente.

¿Qué es lo que podemos hacer?


Si se hubiera descubierto una vulnerabilidad similar hace algunos años, podría haber sido catastrófica. Con las tecnologías, el conocimiento y los procesos que tenemos hoy, no tenemos que preocuparnos. Necesitamos actuar.

La vulnerabilidad ya se solucionó y hay una actualización de software para remediarla. Pero realizar actualizaciones en todos los dispositivos afectados llevará algún tiempo. A veces, será necesario planificar períodos de mantenimiento para reducir el impacto comercial. Y el negocio no puede detenerse.

Los profesionales de la ciberseguridad tienen hoy a su disposición los recursos tecnológicos para evitar que un usuario malintencionado remoto desencadene la vulnerabilidad. Esto es lo que hacen las tecnologías como los firewalls de próxima generación y los firewalls de aplicaciones web. Si por casualidad el intento de explotación es más sofisticado, tecnologías como la detección y respuesta de endpoints pueden detener el código malicioso mientras el atacante lo está ejecutando. Y a partir de los registros generados por los controles de protección, el personal de ciberseguridad puede utilizar herramientas de análisis y reporte de registros o plataformas de gestión de eventos de información de seguridad para detectar si tiene actividad relacionada con esta vulnerabilidad en sus redes y actuar sobre ella, de manera automatizada. Eventualmente, se pueden desarrollar planes de acción detallados paso a paso para una respuesta automatizada con orquestación de seguridad, automatización y plataformas de respuesta. Se necesita un enfoque amplio, integrado y automatizado. Y la conclusión es que hay tecnología disponible para ayudar.

También existen procesos y marcos que ayudan a los profesionales de la ciberseguridad a lidiar con situaciones como esta, y servicios que pueden obtenerse de empresas con experiencia en el manejo de incidentes, que puede aprovechar para evitar trabajar en una base de prueba y error que puede ser costoso para el negocio debido a un mal manejo. Nuevamente, lo relevante es actuar y proteger el negocio.

¿Cómo apoyar los esfuerzos desde el punto de vista de la gestión empresarial? Inste a su personal de TI y ciberseguridad a crear un inventario de su infraestructura, para que puedan actualizar cualquier sistema potencialmente vulnerable lo antes posible. Pero también pídales que adapten el sistema de defensa digital para que evite, contenga y monitoree continuamente la actividad en torno a esta vulnerabilidad. El costo y el esfuerzo para responder, así como el impacto en el negocio en general, serán menores si las acciones se ejecutan antes, en lugar de después.

Estaremos bien, pero tenemos que reaccionar rápidamente. Y adaptarnos, porque eventualmente, habrá otro evento similar en el futuro. Y debemos estar mejor preparados porque “el show debe continuar”.

(*) Martín Hoz: Vicepresidente de Ingeniería de Preventa y Servicios Postventa para Fortinet en América Latina y Caribe