La Comisión Federal de Comercio (FTC) es el organismo de derechos de los consumidores de EEUU, y ha entrado en 2022 con un órdago contra los que no tomen medidas básicas contra los ciberdelincuentes.
Utilizando la vulnerabilidad Log4Shell como lo que podría llamarse su prueba A, la FTC ha amenazado a las empresas en las jurisdicciones de Estados Unidos, diciéndoles que pongan en orden sus parches, o se enfrentarán a las consecuencias:
Es fundamental que las empresas y sus proveedores que utilizan Log4j actúen ahora, para reducir la probabilidad de daño a los consumidores y para evitar la acción legal de la FTC.
Por supuesto, no es sólo Log4j lo que crea la obligación legal de hacer lo correcto para proteger a los consumidores, y la FTC nos lo recuerda a todos:
Cuando se descubren y explotan vulnerabilidades, se corre el riesgo de pérdida o violación de información personal, pérdida financiera y otros daños irreversibles. La obligación de tomar medidas razonables para mitigar las vulnerabilidades conocidas del software implica leyes que incluyen, entre otras, la Federal Trade Commission Act y la Gramm Leach Bliley Act.
Es decir, aunque tu empresa sea víctima de un delito, eso no te exime de tu propia responsabilidad civil o penal.
En pocas palabras: si había precauciones contra una violación de datos que podría haber sido implementadas razonablemente, y que se esperaría razonablemente que hubieras tomado, pero no lo hiciste, entonces podrías acabar siendo víctima e infractor al mismo tiempo.
La FTC ya lo había hecho antes
La breve pero contundente advertencia de la FTC pone como ejemplo Equifax en 2017, en la que el gigante de los informes crediticios de Estados Unidos se vio comprometido a través de una vulnerabilidad de Apache Struts no parcheada con el identificador de error CVE-2017-5638.
La información personal de casi 150.000.000 de personas quedó expuesta como resultado.
La FTC recuerda que Equifax acabó pagando 700 millones de dólares para zanjar las consiguientes acciones legales de la propia FTC, de la Oficina de Protección Financiera del Consumidor de Estados Unidos y de los cincuenta estados de la nación.
La FTC también deja claro que estará perfectamente dispuesta a liderar la carga contra futuros infractores:
La FTC tiene la intención de utilizar toda su autoridad legal para perseguir a las empresas que no tomen medidas razonables para proteger los datos de los consumidores de filtraciones como resultado de Log4j, o vulnerabilidades similares conocidas en el futuro.
Déjà vu
Curiosamente, la vulnerabilidad de Apache Struts que sorprendió a Equifax tenía muchas similitudes con el agujero de seguridad Log4Shell en el código de registro Log4j de Apache.
La vulnerabilidad CVE-2017-5638 de Struts era explotable porque los datos de texto, por lo demás sin importancia, en una petición web no fiable podían contener “secuencias de caracteres mágicas” que eran tratadas como programas en miniatura en el otro extremo.
En lugar de decir “los datos que te acabo de enviar están en este formato: text/plain”, podrías decir algo como “los datos que te acabo de enviar son: (oye, ejecuta esta cadena de texto corta totalmente no fiable como un fragmento de programa para averiguar de qué tipo es)”.
Al igual que Log4Shell de Log4j, este error fue originalmente pensado como una característica, dando a los programadores una flexibilidad divertida en su código, mientras que inadvertidamente, al mismo tiempo, dando a los cibercriminales un agujero de puerta trasera explotable para la ejecución remota de código.
El fallo de Log4j conocido oficialmente como CVE-2021-44228, pero comúnmente denominado Log4Shell, es aún peor.
El kit de herramientas de registro permitía erróneamente a los delincuentes no sólo decir “los datos que quiero que registres son: este texto aquí”, sino también incrustar instrucciones de registro como: “los datos que quiero que registres son: (oye, aquí hay una URL web donde encontrarás un programa que puede o no decirte, así que haz el favor de descargarlo tú mismo y ejecutarlo por mí)”.
Si no puedes leer el texto del vídeo con claridad, intenta utilizar el modo de pantalla completa, o verlo directamente en YouTube.
¿Qué hacer?
Si todavía estás atascado con políticas de parcheo al estilo de 1999 que se basan en dejar que las empresas mejor preparadas en materia de ciberseguridad vayan primero, observando cautelosamente desde la barrera, y luego esperando unos cuantos {días, semanas, meses} más mientras tu Comité de Control de Cambios sopesa los pros y los contras puede que tengas que conseguir que tu Comité de Control de Cambios introduzca un cambio en el propio Comité de Control de Cambios.
La FTC está esencialmente advirtiendo a las empresas y a los proveedores que algunas vulnerabilidades y parches son lo suficientemente importantes como para que ya no haya espacio para liderar, seguir o quitarse de en medio: sólo hay espacio para liderar.
Como siempre decimos: parchea pronto, parchea a menudo ¡tus clientes (y los reguladores de tu país) los apreciarán!
Dejar un comentario