En 2020, XKCD , una popular tira cómica en línea, publicó una caricatura que representa una disposición tambaleante de bloques con la etiqueta: “Toda la infraestructura digital moderna”. Encaramado precariamente en la parte inferior, sosteniendo todo, había un ladrillo delgado y solitario: “Un proyecto que una persona cualquiera en Nebraska ha estado manteniendo ingratamente desde 2003″. La ilustración rápidamente se convirtió en un clásico de culto entre las personas con mentalidad técnica, porque resaltaba una dura verdad: el software en el corazón de Internet no lo mantienen corporaciones gigantes o burocracias en expansión, sino un puñado de voluntarios serios que trabajan duro en la oscuridad. Un susto en materia de seguridad cibernética en los últimos días muestra cómo el resultado puede ser casi un desastre.
El 29 de marzo Andrés Freund, ingeniero de Microsoft, publicó una breve historia policial. En las últimas semanas había notado que SSH (un sistema para iniciar sesión de forma segura en otro dispositivo a través de Internet) funcionaba unos 500 milisegundos más lento de lo esperado. Una inspección más cercana reveló un código malicioso incrustado en lo profundo de XZ Utils, un software diseñado para comprimir datos utilizados dentro del sistema operativo Linux, que se ejecuta en prácticamente todos los servidores de Internet de acceso público. En última instancia, esos servidores sustentan Internet, incluidos servicios financieros y gubernamentales vitales. El malware habría servido como una “llave maestra”, permitiendo a los atacantes robar datos cifrados o colocar otro malware.
La parte más interesante de la historia es cómo llegó allí. XZ Utils es un software de código abierto, lo que significa que su código es público y cualquier persona puede inspeccionarlo o modificarlo. En 2022, Lasse Collin, el desarrollador que lo mantenía, descubrió que su “proyecto de pasatiempo no remunerado” se estaba volviendo más oneroso en medio de problemas de salud mental a largo plazo. Un desarrollador llamado Jia Tan, que había creado una cuenta el año anterior, se ofreció a ayudar. Durante más de dos años contribuyeron con código útil en cientos de ocasiones, generando confianza. En febrero introdujeron el malware de contrabando.
La importancia del ataque es “enorme”, dice The Grugq, seudónimo de un investigador de seguridad independiente muy leído entre los especialistas en ciberseguridad. “La puerta trasera es muy peculiar en la forma en que se implementa, pero es algo realmente inteligente y muy sigiloso”; tal vez demasiado sigiloso, sugiere, porque algunos de los pasos tomados en el código para ocultar su verdadero propósito pueden haberlo ralentizado y Esto hizo sonar la alarma del señor Freund. El enfoque paciente de Jia Tan, respaldado por varios otros relatos que instaron a Collin a pasar el testigo, insinúa una sofisticada operación de inteligencia humana por parte de una agencia estatal, sugiere The Grugq.
Sospecha del SVR, el servicio de inteligencia exterior de Rusia, que en 2019-20 también comprometió el software de gestión de red SolarWinds Orion para obtener un amplio acceso a las redes del gobierno estadounidense. El análisis realizado por Rhea Karty y Simon Henniger sugiere que el misterioso Jia Tan hizo un esfuerzo por falsificar su zona horaria, pero que probablemente estaban dos o tres horas por delante de la hora media de Greenwich, lo que sugiere que pudieron haber estado en Europa oriental o Rusia occidental. Por ahora, sin embargo, la evidencia es demasiado débil para identificar al culpable.
El ataque es quizás el más ambicioso a la “cadena de suministro” (uno que explota no una computadora o dispositivo en particular, sino una pieza de software o hardware de back-end) en la memoria reciente. También es un claro ejemplo de las debilidades de Internet y del código colaborativo en el que se basa. Para los defensores del software de código abierto, los ojos de águila de Freund son una reivindicación de su premisa: el código es abierto, puede ser inspeccionado por cualquiera y eventualmente se encontrarán errores o puertas traseras deliberadas mediante un escrutinio colectivo.
Los escépticos están menos seguros. Algunas herramientas de depuración y seguridad de código detectaron las anomalías en XZ Utils, pero Freund reconoce “la cantidad de coincidencias que tuvieron que unirse para encontrar esto”, incluida una serie de decisiones técnicas pero arbitrarias que tomó mientras solucionaba un problema no relacionado. “Nadie más había expresado su preocupación”, escribe Kevin Beaumont, otro especialista en ciberseguridad. Los ingenieros de software todavía están investigando el funcionamiento interno de la puerta trasera, intentando comprender su propósito y diseño. “El mundo le debe a Andres cerveza gratis e ilimitada”, concluye Beaumont. “Simplemente salvó el trasero de todos en su tiempo libre”.
El ataque fue detectado y detenido antes de que pudiera causar daños generalizados. No hay manera de saber si Jia Tan, o el equipo aparentemente detrás de esa persona, han estado investigando otras piezas vitales de software de Internet bajo otros alias. Pero a los investigadores de seguridad les preocupa que los cimientos de Internet sean vulnerables para campañas similares. “La conclusión es que tenemos incontables billones de dólares sumados al código desarrollado por aficionados”, señala Michal Zalewski, un experto. Otras puertas traseras pueden acechar sin ser descubiertas.
© 2024, The Economist Newspaper Limited. All rights reserved.