A pesar de los continuos esfuerzos de las organizaciones por proteger sus redes, es probable que la vulnerabilidad Log4j permanezca en los sistemas durante una década o más, según un nuevo informe.

El Departamento de Seguridad Nacional de los Estados Unidos compartió ayer (14 de julio) el informe, que afirma que el fallo ha creado algunas de las vulnerabilidades más graves descubiertas en los últimos años.

El riesgo proviene de Apache Log4j, una utilidad de registro basada en Java que utilizan muchas de las principales empresas tecnológicas del mundo para su infraestructura web, como Microsoft, Apple, Amazon, Cisco, Tesla, Twitter y Baidu.

El año pasado, se descubrió que el defecto – apodado Log4Shell – puede dar a un pirata informático acceso ilimitado a los sistemas informáticos de una empresa.

Riesgo significativo en el futuro

En su primer informe, la Junta de Revisión de la Ciberseguridad (CSRB) describió el fallo de Log4j como una «vulnerabilidad endémica» y que existe un riesgo importante en el futuro.

El informe también señala que la vulnerabilidad ha afectado a «prácticamente todas las organizaciones conectadas a la red» debido a lo extendido de su uso.

«Log4j es fácil de usar, de descarga gratuita y eficaz en su función prevista, lo que lo hace popular entre los desarrolladores de Java, que lo han integrado en miles de otros paquetes de software», señala el informe.

La JRSC se comprometió con cerca de 80 organizaciones y personas que representaban a desarrolladores de software, usuarios finales, profesionales de la seguridad y empresas.

La junta dijo que no ha detectado ningún «ataque significativo basado en Log4j contra sistemas de infraestructuras críticas». Sin embargo, las organizaciones están gastando «recursos significativos» para tratar de solucionar el fallo.

«Un departamento del gabinete federal informó de que había dedicado 33.000 horas a la respuesta a la vulnerabilidad de Log4j», decía el informe. «Estas respuestas, a menudo sostenidas a lo largo de muchas semanas y meses, resultaron en altos costos y retrasaron otros trabajos de misión crítica, incluyendo la respuesta a otras vulnerabilidades».

A pesar del riesgo, el presidente de la CSRB y subsecretario de Políticas del Departamento de Seguridad Nacional de Estados Unidos, Robert Silvers, dijo que la junta confía en que las recomendaciones del informe «impulsarán el cambio y mejorarán la ciberseguridad».

«Nunca antes los líderes cibernéticos de la industria y el gobierno se habían reunido de esta manera para revisar incidentes graves, identificar lo que sucedió y asesorar a toda la comunidad sobre cómo podemos hacerlo mejor en el futuro», dijo Silvers.

El informe incluye 19 recomendaciones para que el gobierno y la industria mejoren su ciberseguridad, como invertir en la seguridad del software de código abierto, mejorar las capacidades para identificar los sistemas vulnerables y establecer un requisito de base para la transparencia del software «para los proveedores del gobierno federal».

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.