No todos los héroes llevan capa. Por ejemplo,
el ingeniero Andrés Freund ha salvado internet de un devastador ciberataque. En
este artículo, veremos cómo un pequeño acto de curiosidad evitó una catástrofe
global de ciberseguridad.
En una tarde de Viernes Santo, Andrés
Freund, ingeniero de Microsoft, notó algo peculiar mientras utilizaba una
herramienta de software llamada SSH para iniciar sesión de forma segura
en computadoras remotas en Internet: las interacciones con las máquinas
distantes eran significativamente más lentas de lo habitual. Después de
investigar, descubrió código malicioso incrustado en un paquete de software llamado XZ Utils que se estaba ejecutando en su máquina.
Este software es una utilidad crítica
para comprimir (y descomprimir) datos que se ejecutan en el sistema operativo Linux, el sistema que alimenta la gran mayoría de los servidores
de Internet públicamente accesibles en todo el mundo. Lo que significa que cada
una de estas máquinas está ejecutando XZ Utils.
La investigación de Freund reveló que
el código malicioso había llegado a su máquina a través de dos actualizaciones
recientes de XZ Utils. Alertó a la Open Source Security para
revelar que esas actualizaciones fueron el resultado de alguien que colocó
intencionalmente una puerta trasera en el software de compresión. En realidad,
fue lo que se llama un «ataque de la cadena de suministro«,
donde el software malicioso no se inyecta directamente en las máquinas
objetivo, sino que se distribuye infectando las actualizaciones de software
regulares a las que todos los usuarios de computadoras están acostumbrados.
Objetivo del malware
¿Qué pretendía hacer el malware
descubierto por Freund? Básicamente, romper el proceso de autenticación
que hace seguro el SSH y, por lo tanto, crear una puerta trasera que permitiría
a un intruso obtener acceso no autorizado al sistema completo de forma remota.
Estabilidad asegurada, y esperemos todo
haya quedado hasta ahí. Sin embargo, nada de esto sería cierto si Freund no
hubiera sido tan avizor e inquisitivo.
«El mundo le debe a Andrés cerveza
ilimitada y gratuita», acotó un experto en seguridad. «Acaba de
salvar el trasero de todos en su tiempo libre», concluyó.
En cierto sentido, la historia de
cómo el malware ingresó en las actualizaciones es aún más instructiva. XZ Utils
es un software de código abierto, es decir, software cuyo código fuente puede
ser inspeccionado, modificado y mejorado por cualquier persona. Gran parte del
software de código abierto es escrito y mantenido por pequeños equipos de
programadores, y en muchos casos por un individuo. En XZ Utils, ese individuo
durante años fue Lasse Collin, quien ha estado con el proyecto desde su inicio.
Hasta hace poco, él era la persona que había estado ensamblando y distribuyendo
las actualizaciones del software.
Pero parece que, en los últimos años,
la carga de mantener un software tan crucial se había vuelto más onerosa, y
también se informó que había tenido problemas de salud. Pero según el experto
en seguridad Michał Zalewski, hace aproximadamente dos años, apareció de la nada
un desarrollador «sin huella en línea previa» y que se hacía llamar
Jia Tan y comenzó a hacer contribuciones útiles a la biblioteca XZ Utils.
«Poco después de la llegada de ‘Jia’, aparecieron varias cuentas de
títeres y comenzaron a presionar a Lasse para que pasara la antorcha;
parece que cedió en algún momento de 2023″.
Zalewski
Y parece que las dos actualizaciones
infectadas con malware fueron lanzadas por este personaje Jia.
Entonces, ahora la trama se complica.
Los expertos en ciberseguridad están tomando en serio el ataque. «La
puerta trasera es muy peculiar en cómo está implementada, pero es realmente
ingeniosa y muy sigilosa», dijo un conocido experto de seguridad sudafricano
a The Economist. Aún más interesante es la existencia de una campaña en línea
concertada para persuadir a Lasse Collin de que ceda el control de XZ Utils a
«Jia Tan». Este experto en particular sospecha que el SVR, el serviciode inteligencia extranjera rusa detrás de la infiltración de SolarWinds en las
redes del gobierno de los Estados Unidos, incluso podría haber desempeñado un
papel en el ataque.
¿Quién sabe? Pero se pueden sacar dos
lecciones claras de lo que sabemos hasta ahora. La primera es que hemos
construido un mundo completamente nuevo sobre una tecnología intrínseca y
fundamentalmente insegura. La segunda es que dependemos críticamente de softwarede código abierto que a menudo es mantenido por voluntarios que lo hacen
por amor al arte y no por dinero, y generalmente sin el apoyo de la industria o
el gobierno.
Hackers están secuestrando sistemas Linux mediante versiones troyanizadas de OpenSSH