En 2020, la popular tira cómica en línea XKCD publicó una caricatura con un conjunto tambaleante de bloques que, según el letrero incluido, representaba “toda la infraestructura digital moderna”. Al fondo de la pila, un solo ladrillo delgado, apoyado precariamente, sostenía todo: “Un proyecto que ha mantenido una persona desconocida en Nebraska desde 2003 sin que nadie le dé las gracias”.
La ilustración se convirtió pronto en un clásico de culto entre los aficionados a la tecnología, pues resaltaba una verdad cruel: quien mantiene el software que hace posible el internet no es una empresa gigante o una burocracia en expansión, sino un grupo de unos cuantos voluntarios comprometidos que trabajan afanosamente en las sombras. Un susto de ciberseguridad reciente muestra que, en consecuencia, podríamos estar al borde de un desastre.
El 29 de marzo, Andres Freund, un ingeniero de Microsoft, publicó una breve historia detectivesca. Unas semanas antes, detectó que SSH (un sistema que permite el ingreso seguro a otro dispositivo por internet) corría unos 500 milisegundos más lento de lo esperado. Una revisión más meticulosa reveló que había código maligno insertado en las profundidades de XZ Utils, un software diseñado para comprimir datos empleados dentro del sistema operativo de Linux, que corre en casi todos los servidores de internet de acceso público.
El hecho es que esos servidores son el sostén fundamental de internet, incluidos servicios gubernamentales y financieros vitales. El código maligno podría haber funcionado como una “llave maestra” para que los atacantes robaran datos cifrados o sembraran otro malware.
LEA TAMBIÉN: Los activos críticos con más riesgo de sufrir ciberataques dirigidos
La parte más interesante de la historia es cómo llegó ahí. XZ Utils es un software de código abierto, es decir que su código es público y cualquiera puede inspeccionarlo o modificarlo. En 2022, Lasse Collin, el desarrollador que lo mantenía, sintió que su “proyecto de pasatiempo sin paga” se había vuelto más pesado por ciertos problemas de salud mental prolongados.
Un desarrollador llamado Jia Tan, que había creado una cuenta el año anterior, le ofreció ayuda. Por más de dos años, esta persona aportó código útil en cientos de ocasiones y se fue ganando la confianza de su círculo. En febrero, introdujo secretamente el malware.
El ataque es de “enorme” importancia, en opinión de The Grugq, el pseudónimo de un investigador de seguridad independiente entre cuyos lectores se encuentra un amplio número de expertos en ciberseguridad. “La puerta trasera es muy peculiar por su implementación, pero en realidad fue una maniobra muy inteligente y furtiva”, quizá demasiado furtiva, en su opinión, porque es posible que algunas de las medidas aplicadas en el código para ocultar su verdadero propósito lo hayan hecho más lento, lo que le llamó la atención a Freund. La paciencia de Jia Tan, con ayuda de muchas otras cuentas que instaron a Collin a pasar la estafeta, hace pensar que se trataba de una operación sofisticada de inteligencia humana llevada a cabo por una agencia gubernamental, sugiere The Grugq.
Sospecha del servicio de inteligencia exterior de Rusia, de sigla SVR, que entre 2019 y 2020 también puso en riesgo el software de gestión de redes de Orion SolarWinds para obtener acceso amplio a las redes del gobierno estadounidense. Un análisis que Rhea Karty y Simon Henniger publicaron en su Substack sugiere que, aunque Jia Tan intentó falsificar su zona horaria, es probable que haya estado entre dos y tres horas adelante de la hora media de Greenwich (GMT), lo que hace pensar que quizá se encontraba en Europa occidental o el oeste de Rusia, además de que evitaba trabajar en días festivos de Europa occidental. Sin embargo, por ahora no hay mucha evidencia para identificar al culpable.
LEA TAMBIÉN: Ciberseguridad en el top 3 de las carreras más solicitadas en tecnología: sueldos
Podría tratarse del ataque más ambicioso en tiempos recientes contra la cadena de suministro (aquel que no explota una computadora o un dispositivo en particular, sino una porción de software o hardware de soporte). Además, es una cruda demostración de las fragilidades del internet y del código de colaboración abierta en el que se basa.
A los defensores del software de código abierto les parece que la mirada de águila de Freund reivindica su premisa: el código es abierto, cualquiera puede inspeccionarlo y los errores o puertas traseras deliberadas se descubrirán, a fin de cuentas, gracias al escrutinio colectivo.
En las sombras
Los escépticos no están tan seguros. Algunas herramientas de depuración y seguridad de código identificaron las anomalías en XZ Utils, pero Freund reconoce que “fueron necesarias muchas coincidencias para detectar esto”, incluida una serie de decisiones técnicas, pero arbitrarias, que tomó para hacer el diagnóstico de un problema sin relación alguna.
“Nadie más había expresado ninguna preocupación”, escribe Kevin Beaumont, otro especialista en ciberseguridad. Algunos ingenieros de software todavía exploran los mecanismos internos de la puerta trasera para intentar comprender su propósito y diseño. “El mundo le debe a Andres cerveza gratis ilimitada”, concluye Beaumont. “Nos salvó el pellejo a todos en su tiempo libre”.
El ataque se detectó y detuvo antes de que pudiera causar daños generalizados. No hay manera de saber si Jia Tan o el equipo que, al parecer, era su respaldo, intentó escabullirse en otras partes vitales de software de internet con otros alias. Pero a los investigadores de seguridad les preocupa que los cimientos de internet sufran campañas de ataque similares.
“En resumidas cuentas, una enorme cantidad de billones de dólares dependen de código desarrollado por aficionados”, señala Michal Zalewski, un experto. Además, todavía puede haber otras puertas traseras sin descubrir en otras secciones del software crucial de internet.
LEA TAMBIÉN: Desmantelan a grupo de hackers “más dañino” del mundo
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja Aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.
