{"id":320420,"date":"2021-12-30T09:35:02","date_gmt":"2021-12-30T13:35:02","guid":{"rendered":"http:\/\/diariodominicano.com\/?p=320420"},"modified":"2021-12-30T23:35:16","modified_gmt":"2021-12-31T03:35:16","slug":"log4shell-la-vulnerabilidad-tecnologica-mas-grande-y-mas-critica-de-la-historia","status":"publish","type":"post","link":"https:\/\/diariodominicano.com\/?p=320420","title":{"rendered":"\u00a0Log4Shell: La vulnerabilidad tecnol\u00f3gica m\u00e1s grande y m\u00e1s cr\u00edtica de la historia"},"content":{"rendered":"\n

Juan Matos, MSc<\/strong> <\/p>\n\n\n\n

 Los sistemas inform\u00e1ticos no son perfectos, tienen debilidades, que pueden ser aprovechadas por ciberdelincuentes para realizar acciones ilegitimas o lograr acceso no autorizado a un sistema inform\u00e1tico, a estas debilidades, en seguridad cibern\u00e9tica se les conoce como vulnerabilidad.

Una vulnerabilidad podr\u00eda permitir que un atacante deje sin operaci\u00f3n un sistema, logre secuestrar, robar, destruir, modificar o incluso filtrar datos e informaciones importantes y confidenciales de una organizaci\u00f3n.
<\/p>\n\n\n\n

Log4Shell, es una nueva vulnerabilidad que podr\u00eda afectar a cientos de millones de dispositivos en todo el mundo, se hizo p\u00fablica desde el 9 de diciembre, aunque algunos reportes indican que su primera aparici\u00f3n fue el 1ero de diciembre. Esta vulnerabilidad fue revelada por el equipo de seguridad en la nube de Alibaba y fue bautizada de manera oficial como CVE-2021-44228 (CVE es un identificador \u00fanico que se le otorga a cada vulnerabilidad descubierta en el mundo), su nivel de impacto es 10, en una escala del 0 al 10, lo que le tipifica como una vulnerabilidad critica, en adici\u00f3n a esta, han sido descubierta en las \u00faltimas semanas otras debilidades en Apache Log4j, utilidad de logging basada en el lenguaje de programaci\u00f3n Java, las vulnerabilidades relacionadas son las siguientes: CVE-2021-45046 [Cr\u00edtico, 9.0], CVE-2021-4104 [Alto, 8.1], CVE-2021-42550 [Moderado, 6.6] y CVE-2021-45105  [Alto, 7.5].
<\/p>\n\n\n\n

Seg\u00fan la firma de seguridad Check Point, m\u00e1s del 50% de las organizaciones de gobierno, militares, financieras, Proveedores de servicios de Internet, Salud, Transporte actualmente est\u00e1n afectadas por la vulnerabilidad en Log4j.
<\/p>\n\n\n\n

Cualquier sistema y\/o servicio que este usando esta librer\u00eda de logging de Java, Apache Log4j entre las versiones 2.0 y 2.16 puede ser vulnerable, esto incluye productos de grandes compa\u00f1\u00edas de tecnolog\u00eda como Apple, Microsoft, Google, Cisco, Juniper, Fortinet, Palo Alto, NetApp, Cloudflare, Adobe, Apache, EMC, Dell, HPE, IBM, Lenovo, Red Hat, PureStorage, Schneider Electric, Siemens, Splunk, SolarWinds, VMware, Xerox, McAfee, Oracle, SolarWinds, SonicWall, Sophos, TrendMicro, Ubiquiti, Ubuntu y muchos otros.
<\/p>\n\n\n\n

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos, por sus siglas en ingles CISA, agreg\u00f3 a Log4Shell a su cat\u00e1logo de vulnerabilidades explotadas conocidas, para agregar una vulnerabilidad a esta lista, se basan en evidencias que confirman que ciberdelincuentes est\u00e1n aprovech\u00e1ndose activamente de esta vulnerabilidad, por lo cual Log4Shell representa un riesgo importante para las empresas.
<\/p>\n\n\n\n

Amit Yoran, CEO de Tenable, una de las compa\u00f1\u00edas de ciberseguridad con la soluci\u00f3n de evaluaci\u00f3n de vulnerabilidades m\u00e1s implementada en el mundo, declaro que: \u201cLog4Shell es, por mucho, la vulnerabilidad m\u00e1s grande y m\u00e1s cr\u00edtica de la historia.\u201d
<\/p>\n\n\n\n

Los ciberdelincuentes vali\u00e9ndose de esta vulnerabilidad podr\u00edan acceder remotamente a los sistemas para ejecutar instrucciones a su antojo, detonar ataques de denegaci\u00f3n de servicios (DoS) para dejar sin operaci\u00f3n los sistemas e incluso podr\u00edan utilizar la infraestructura para minar criptomonedas, degradando as\u00ed el desempe\u00f1o de la infraestructura tecnol\u00f3gica de la organizaci\u00f3n vulnerable, incluso se teme que esta vulnerabilidad pudiera ser aprovechada para lanzar ataques de ransomware o secuestro de datos en espa\u00f1ol.
<\/p>\n\n\n\n

La relevancia de esta vulnerabilidad es tal que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad Nacional (NSA), el Centro Australiano de Seguridad Cibern\u00e9tica (ACSC), el Centro Canadiense de Seguridad Cibern\u00e9tica (CCCS), el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Nueva Zelanda (CERT NZ), el Centro Nacional de Seguridad Cibern\u00e9tica de Nueva Zelanda (NZ NCSC) y el Centro Nacional de Seguridad Cibern\u00e9tica del Reino Unido (NCSC-UK) est\u00e1n trabajando en conjunto para analizar y generar estrategias de mitigaci\u00f3n para abordar la vulnerabilidad en Log4j de Apache.
<\/p>\n\n\n\n

Log4Shell es una vulnerabilidad cr\u00edtica y dado que al d\u00eda de hoy es imposible cuantificar el impacto que podr\u00eda generar su explotaci\u00f3n, la recomendaci\u00f3n es que la misma sea tratada de manera urgente por los equipos de tecnolog\u00eda y de seguridad de la informaci\u00f3n de cada organizaci\u00f3n, siguiendo las buenas practicas que los fabricantes de la industria tecnol\u00f3gica han dispuesto para mitigar esta amenaza.
<\/p>\n\n\n\n

Sobre el autor: Juan Matos, MSc<\/strong>
<\/p>\n\n\n\n

CEO y Fundador de VOLARIT, vicepresidente de la Internet Society en Rep\u00fablica Dominicana. Inform\u00e1tico con Maestr\u00eda en Ciberseguridad del Instituto Tecnol\u00f3gico de Santo Domingo (INTEC), Maestr\u00eda en Tecnolog\u00eda, Aprendizaje y Educaci\u00f3n de la Universidad del Pa\u00eds Vasco, Maestr\u00eda en Gesti\u00f3n P\u00fablica de la Universidad de las Palmas de Gran Canaria, actualmente trabaja en su tesis para optar por el grado de doctor de la Universidad del Pa\u00eds Vasco.

juanmatos@gmail.com<\/a> \/ twitter: @juanmatos<\/p>\n","protected":false},"excerpt":{"rendered":"

Juan Matos, MSc  Los sistemas inform\u00e1ticos no son perfectos, tienen debilidades, que pueden ser aprovechadas por ciberdelincuentes para realizar acciones ilegitimas o lograr acceso no autorizado a un sistema inform\u00e1tico, a estas debilidades, en seguridad cibern\u00e9tica se les conoce como vulnerabilidad. Una vulnerabilidad podr\u00eda permitir que un atacante deje sin operaci\u00f3n un sistema, logre secuestrar, […]<\/p>\n","protected":false},"author":28,"featured_media":320593,"comment_status":"closed","ping_status":"","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18,27],"tags":[],"class_list":["post-320420","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-economia","category-portada"],"_links":{"self":[{"href":"https:\/\/diariodominicano.com\/index.php?rest_route=\/wp\/v2\/posts\/320420","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/diariodominicano.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/diariodominicano.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/diariodominicano.com\/index.php?rest_route=\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/diariodominicano.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=320420"}],"version-history":[{"count":1,"href":"https:\/\/diariodominicano.com\/index.php?rest_route=\/wp\/v2\/posts\/320420\/revisions"}],"predecessor-version":[{"id":320422,"href":"https:\/\/diariodominicano.com\/index.php?rest_route=\/wp\/v2\/posts\/320420\/revisions\/320422"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/diariodominicano.com\/index.php?rest_route=\/wp\/v2\/media\/320593"}],"wp:attachment":[{"href":"https:\/\/diariodominicano.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=320420"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/diariodominicano.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=320420"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/diariodominicano.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=320420"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}