No todos los héroes llevan capa. Por ejemplo, el ingeniero Andrés Freund ha salvado internet de un devastador ciberataque. En este artículo, veremos cómo un pequeño acto de curiosidad evitó una catástrofe global de ciberseguridad.
En una tarde de Viernes Santo, Andrés Freund, ingeniero de Microsoft, notó algo peculiar mientras utilizaba una herramienta de software llamada SSH para iniciar sesión de forma segura en computadoras remotas en Internet: las interacciones con las máquinas distantes eran significativamente más lentas de lo habitual. Después de investigar, descubrió código malicioso incrustado en un paquete de software llamado XZ Utils que se estaba ejecutando en su máquina.
Este software es una utilidad crítica para comprimir (y descomprimir) datos que se ejecutan en el sistema operativo Linux, el sistema que alimenta la gran mayoría de los servidores de Internet públicamente accesibles en todo el mundo. Lo que significa que cada una de estas máquinas está ejecutando XZ Utils.
La investigación de Freund reveló que el código malicioso había llegado a su máquina a través de dos actualizaciones recientes de XZ Utils. Alertó a la Open Source Security para revelar que esas actualizaciones fueron el resultado de alguien que colocó intencionalmente una puerta trasera en el software de compresión. En realidad, fue lo que se llama un "ataque de la cadena de suministro", donde el software malicioso no se inyecta directamente en las máquinas objetivo, sino que se distribuye infectando las actualizaciones de software regulares a las que todos los usuarios de computadoras están acostumbrados.
Objetivo del malware
¿Qué pretendía hacer el malware descubierto por Freund? Básicamente, romper el proceso de autenticación que hace seguro el SSH y, por lo tanto, crear una puerta trasera que permitiría a un intruso obtener acceso no autorizado al sistema completo de forma remota.
Estabilidad asegurada, y esperemos todo haya quedado hasta ahí. Sin embargo, nada de esto sería cierto si Freund no hubiera sido tan avizor e inquisitivo.
"El mundo le debe a Andrés cerveza ilimitada y gratuita", acotó un experto en seguridad. "Acaba de salvar el trasero de todos en su tiempo libre", concluyó.
En cierto sentido, la historia de cómo el malware ingresó en las actualizaciones es aún más instructiva. XZ Utils es un software de código abierto, es decir, software cuyo código fuente puede ser inspeccionado, modificado y mejorado por cualquier persona. Gran parte del software de código abierto es escrito y mantenido por pequeños equipos de programadores, y en muchos casos por un individuo. En XZ Utils, ese individuo durante años fue Lasse Collin, quien ha estado con el proyecto desde su inicio. Hasta hace poco, él era la persona que había estado ensamblando y distribuyendo las actualizaciones del software.
Pero parece que, en los últimos años, la carga de mantener un software tan crucial se había vuelto más onerosa, y también se informó que había tenido problemas de salud. Pero según el experto en seguridad Michał Zalewski, hace aproximadamente dos años, apareció de la nada un desarrollador "sin huella en línea previa" y que se hacía llamar Jia Tan y comenzó a hacer contribuciones útiles a la biblioteca XZ Utils.
"Poco después de la llegada de 'Jia', aparecieron varias cuentas de títeres y comenzaron a presionar a Lasse para que pasara la antorcha; parece que cedió en algún momento de 2023".
Zalewski
Y parece que las dos actualizaciones infectadas con malware fueron lanzadas por este personaje Jia.
Entonces, ahora la trama se complica. Los expertos en ciberseguridad están tomando en serio el ataque. "La puerta trasera es muy peculiar en cómo está implementada, pero es realmente ingeniosa y muy sigilosa", dijo un conocido experto de seguridad sudafricano a The Economist. Aún más interesante es la existencia de una campaña en línea concertada para persuadir a Lasse Collin de que ceda el control de XZ Utils a "Jia Tan". Este experto en particular sospecha que el SVR, el serviciode inteligencia extranjera rusa detrás de la infiltración de SolarWinds en las redes del gobierno de los Estados Unidos, incluso podría haber desempeñado un papel en el ataque.
¿Quién sabe? Pero se pueden sacar dos
lecciones claras de lo que sabemos hasta ahora. La primera es que hemos
construido un mundo completamente nuevo sobre una tecnología intrínseca y
fundamentalmente insegura. La segunda es que dependemos críticamente de softwarede código abierto que a menudo es mantenido por voluntarios que lo hacen
por amor al arte y no por dinero, y generalmente sin el apoyo de la industria o
el gobierno.
Hackers están secuestrando sistemas Linux mediante versiones troyanizadas de OpenSSH