Hace ahora un año, tuvo lugar la difusión de una vulnerabilidad 'zero day' que afectó potencialmente a millones de usuarios de toda clase de plataformas online (de Steam a Cloudflare, de iCloud a Minecraft, etcétera): la denominada vulnerabilidad 'Log4Shell', así denominada porque afectaba a una casi desconocida biblioteca de código abierto denominada Apache Log4J.

Pero, aunque fuera poco conocida, lo cierto es que era (y sigue siendo) una pieza fundamental entre las aplicaciones (libres y privativas) del ecosistema Java, al tener la función de facilitar que éstas mantengan un registro de las actividades realizadas en tiempo de distribución.

Tan fundamental era esta pieza, que rápidamente se asignó a la vulnerabilidad una puntuación 10/10 en el CVSS (Common Scoring System). Por fortuna, tan sólo 24 horas después de difundirse la existencia de la vulnerabilidad, los mantenedores del proyecto Log4J habían sido capaces de lanzar la versión parcheada.

El escándalo de los voluntarios trabajando contrarreloj para Silicon Valley

Lo cual, como se reveló al poco tiempo, era un logro descomunal, pues el equipo de personas responsable de este software (usado, insistimos, por miles de grandes plataformas) era de tan sólo 10 personas... de las cuales sólo 3 pudieron contribuir en ese momento a crear el parche. ¿El motivo? Todos ellos eran desarrolladores voluntarios que trabajan en Log4J "en su tiempo libre". Alguno de ellos sólo pudo dormir dos horas aquella estresante noche.

En Genbeta

Un desarrollador sabotea sus exitosos proyectos …