China amonesta a Alibaba por no informarla a tiempo de la vulnerabilidad de Log4j

Como castigo por el retraso Eel MIIT de China ha suspendido su asociación durante un intervalo de seis meses con Alibaba Cloud.

Alberto Payo

Periodista

Guardar

Alibaba.
Alibaba.

A las autoridades chinas no les ha hecho nada de gracia que Alibaba, uno de sus gigantes tecnológicos, se demorara en darles a conocer la vulnerabilidad de la biblioteca Log4j tras ser una de las primeras en detectarla. 

Fruto de este retraso el Ministerio de Industria y Tecnología de la Información (MIIT) de China ha suspendido su asociación durante un intervalo de seis meses con Alibaba Cloud, la unidad en la nube de la compañía mandarina. 

Parece que Chen Zhaojun, ingeniero de seguridad de Alibaba Cloud, fue la primera persona en descubrir la citada vulnerabilidad, según se hace eco Bloomberg News. Este avisó del problema a Apache el pasado 24 de noviembre y las noticias de su existencia no llegaron al MIIT hasta el 9 de diciembre. Este lapso ha sido la causa de la sanción a la empresa tecnológica por parte del ministerio. 

"Recientemente, tras descubrir serias vulnerabilidades de seguridad en el componente Apache Log4j2, Alibaba Cloud no informó a las autoridades de telecomunicaciones de manera oportuna y no apoyó de manera efectiva al Ministerio de Industria y Tecnología de la Información de China para llevar a cabo la gestión de vulnerabilidades y las amenazas de seguridad cibernética", recoge el informe de los medios locales. 

Obligadas por ley a informar sobre vulnerabilidades

'Log4Shell' (CVE-202-44228), que así se denominaría el agujero de seguridad, sería la vulnerabilidad de día cero más crítica del año, por la amplia ubicuidad de su librería Java Apache Log4j )está presente en millones de servidores y su facilitad de explotación. 

China puso en vigor recientemente una nueva ley que obliga a todas las empresas a informar de las vulnerabilidades a los reguladores estatales en el plazo de dos días. 
Además, el gobierno chino también ha aprobado varias leyes y emitido advertencias a las principales empresas del país respecto a proteger los datos compartidos fuera de China. A este respecto, Alibaba ya recibió una multa récord de 18.200 millones de yuanes (unos 2.500 millones de euros).

Un informe publicado hace unos días por la compañía de seguridad Sophos, apunta a que la mayoría de los intentos de explotación de Log4Shell proceden de Rusia y China.