Estados Unidos sancionará a empresas que no se blinden contra la vulnerabilidad Log4Shell

La Comisión Federal de Comercio (FTC) ha hecho pública una advertencia en la que afirma que emprenderá acciones legales contra cualquier empresa estadounidense que haya puesto en peligro los datos de los consumidores por no mitigar adecuadamente Log4Shell.

La FTC afirma en su alerta que Log4Shell supone un grave riesgo para millones de productos de consumo y aplicaciones empresariales, añadiendo que existe un riesgo significativo de pérdida de datos en una brecha hecha posible por la vulnerabilidad, rastreada como CVE-2021-44228.

«La obligación de tomar medidas razonables para mitigar las vulnerabilidades de software conocidas implica leyes que incluyen, entre otras, la Ley de la Comisión Federal de Comercio y la Ley Gramm Leach Bliley. Es fundamental que las empresas y sus proveedores que confían en Log4j actúen ahora, con el fin de reducir la probabilidad de daño a los consumidores, y para evitar la acción legal de la FTC», escribe la FTC en un comunicado.

La célebre filtración de datos de Equifax fue mencionada por la FTC en su advertencia a todas las empresas estadounidenses, diciendo que no parcheó una vulnerabilidad conocida, perdió datos pertenecientes a 147 millones de personas y pagó 700 millones de dólares para resolver las acciones de la FTC y la Oficina de Protección Financiera del Consumidor.

«La FTC tiene la intención de utilizar toda su autoridad legal para perseguir a las empresas que no tomen medidas razonables para proteger los datos de los consumidores de la exposición como resultado de Log4j, o de vulnerabilidades conocidas similares en el futuro», dijo.

La FTC animó a las empresas a seguir las orientaciones publicadas por la Agencia de Seguridad de las Infraestructuras y la Ciberseguridad de Estados Unidos (CISA):

  • Actualice su paquete de software Log4j a la versión más reciente.
  • Consulte las orientaciones de la CISA para mitigar esta vulnerabilidad.   
  • Asegúrese de que se toman medidas correctivas para garantizar que las prácticas de su empresa no violan la ley. No identificar y parchear las instancias de este software puede violar la Ley FTC. 
  • Distribuya esta información a todas las filiales de terceros que vendan productos o servicios a consumidores que puedan ser vulnerables. 


Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022