Cientos de millones de dispositivos en todo el mundo podrían estar expuestos a una vulnerabilidad de softwarerecientemente revelada, ya que un alto funcionario cibernético de la administración Biden advirtió el lunes a los ejecutivos de las principales industrias estadounidenses que deben tomar medidas para abordar uno de los defectos más graves que ha visto en su carrera.
DHS advierte de falla crítica en software ampliamente utilizado
Mientras las principales empresas de tecnología luchan por contener las consecuencias del incidente, los funcionarios estadounidenses sostuvieron una llamada con ejecutivos de la industria advirtiendo que los piratas informáticos están explotando activamente la vulnerabilidad.
Esta vulnerabilidad es una de las más graves que he visto en toda mi carrera, si no la más grave, dijo Jen Easterly, directora de la Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA), en una llamada telefónica compartida con CNN. Grandes firmas financieras y ejecutivos de atención médica asistieron a la sesión informativa telefónica.
Esperamos que la vulnerabilidad sea ampliamente explotada por actores sofisticados y tenemos un tiempo limitado para tomar las medidas necesarias con el fin de reducir la probabilidad de incidentes dañinos, dijo Easterly.
CNN se ha comunicado con CISA para obtener comentarios sobre la llamada. CyberScoop, un sitio de noticias de tecnología, informó por primera vez sobre el contenido de la llamada.
Es la advertencia más cruda hasta ahora de los funcionarios estadounidenses sobre la falla del software desde que se supo a fines de la semana pasada que los piratas informáticos lo estaban usando para tratar de ingresar a las redes informáticas de las organizaciones. También es una prueba de los nuevos canales que los funcionarios federales han establecido para trabajar con ejecutivos de la industria después de los hackeos generalizados que explotan el software solarWinds y Microsoft revelados en el último año.
Los expertos le dijeron a CNN que podría tomar semanas abordar las vulnerabilidades y que los presuntos piratas informáticos chinos ya están tratando de explotarlo.
La vulnerabilidad está en el software basado en Java conocido como Log4j que las grandes organizaciones, incluidas algunas de las empresas de tecnología más grandes del mundo, utilizan para registrar la información de sus aplicaciones. Los gigantes tecnológicos como Amazon Web Services e IBM se han movido para abordar el error en sus productos.
Ofrece a un hacker una forma relativamente fácil de acceder al servidor informático de una organización. A partir de ahí, un atacante podría idear otras formas de acceder a los sistemas en la red de una organización.
La Apache Software Foundation, que administra el software Log4j, ha lanzado una solución de seguridad para que las organizaciones la apliquen.
Carrera contra el tiempo para abordar la falla
Pero los atacantes tenían más de una semana de ventaja en la explotación de la falla del software antes de que se divulgara públicamente, según la firma de ciberseguridad Cloudflare.
Las organizaciones ahora están en una carrera contra el tiempo para averiguar si tienen computadoras que ejecutan el software vulnerable que estaba expuesto a Internet. Los ejecutivos de ciberseguridad de todo el gobierno y la industria están trabajando día y noche en el tema.
Vamos a tener que asegurarnos de tener un esfuerzo sostenido para comprender el riesgo de este código en toda la infraestructura crítica de Estados Unidos, dijo Jay Gazlay, otro funcionario de CISA, en la llamada telefónica.
Los hackers vinculados al gobierno chino ya han comenzado a usar la vulnerabilidad, según Charles Carmakal, vicepresidente senior y director de tecnología de la firma de ciberseguridad Mandiant. Mandiant se negó a dar detalles sobre a qué organizaciones se dirigían los piratas informáticos.
Con el tiempo, todos pueden armar la maldita cosa, dijo el CEO de Mandiant, Kevin Mandia, a CNN, refiriéndose a la vulnerabilidad. Ese es el problema. Y probablemente habrá grandes hackers escondidos en el ruido de los no tan grandes.
El ruido es un problema real. Para los profesionales de la ciberseguridad, Twitter ha sido una rotación constante tanto de información útil como, en algunos casos, de desinformación que no tiene nada que ver con la vulnerabilidad.
Para abordar el problema, CISA dijo que establecería un sitio web público con información sobre qué productos de software se vieron afectados por la vulnerabilidad y las técnicas que los piratas informáticos estaban utilizando para explotarla.
Este será un proceso de varias semanas en el que nuevos actores están explotando la vulnerabilidad, dijo Eric Goldstein, subdirector ejecutivo de ciberseguridad de CISA, en la llamada telefónica.
La ubicuidad del software obligó a los profesionales de ciberseguridad de todo el país a pasar el fin de semana comprobando si sus sistemas son vulnerables.
Para la mayor parte del mundo de la tecnología de la información, no hubo fin de semana, dijo a CNN Rick Holland, director de seguridad de la información de la firma de ciberseguridad Digital Shadows. Fue solo otro largo conjunto de días.
Con información de CNN
