Una alerta de seguridad crítica compromete muchos productos basados en Java

Según el organismo público garante de la ciberseguridad en nuestro país Log4Shell puede afectar potencialmente a un gran número de usuarios. La principal amenaza reside en que, hasta que se lanza dicho parche correctivo los usuarios lo instalarán en sus equipos sin percatarse, de modo que los atacantes tendrán vía libre para explotar la vulnerabilidad y sacar provecho del fallo de seguridad. A este tipo de ataques se les denomina ataques de día cero o Zero day attack.

Por este motivo la OSI cataloga esta alerta como un aviso de importancia alta. Sus expertos precisan que están afectados todos los productos que utilizan la librería Log4j2 mantenida por Apache Fundation, desde la versión 2.0-beta9 hasta la versión 2.14.1 Esta librería es utilizada en muchos productos, tanto comerciales como en desarrollos propios basados en Java. Para saber qué fabricantes y productos están afectados, se puede consultar el aviso de seguridad publicado en INCIBE-CERT sobre Log4Shell en este enlace.

Cómo actuar en caso de infección. Los expertos recomiendan activar todas las herramientas de protección de las que se posea, apuntando que un antivirus instalado y actualizado puede suponer la diferencia entre un dispositivo infectado y una amenaza contenida. También conviene mantener actualizado todo el software en general, puesto que las actualizaciones solucionan errores, cierran brechas y vulnerabilidades que han sido descubiertas, como es el caso de las de día cero o 0-Day.