Un ciberataque silencioso casi comprometió computadoras en todo el mundo

En 2020, XKCD , una popular tira cómica en línea, publicó una caricatura que representa una disposición tambaleante de bloques con la etiqueta: “Toda la infraestructura digital moderna”. Encaramado precariamente en la parte inferior, sosteniendo todo, había un ladrillo delgado y solitario: “Un proyecto que una persona cualquiera en Nebraska ha estado manteniendo ingratamente desde 2003”. La ilustración rápidamente se convirtió en un clásico de culto entre las personas con mentalidad técnica porque resaltaba una dura verdad: El software en el corazón de Internet no lo mantienen corporaciones gigantes ni burocracias en expansión, sino un puñado de voluntarios serios que trabajan duro en la oscuridad. Un susto de ciberseguridad en los últimos días muestra cómo el resultado puede ser casi un desastre.

El 29 de marzo Andres Freundingeniero de microsoft, publicó una breve historia policial. En las últimas semanas había notado que SSH (un sistema para iniciar sesión de forma segura en otro dispositivo a través de Internet) funcionaba unos 500 milisegundos más lento de lo esperado. Una inspección más cercana reveló código malicioso incrustado en XZ Utils, software diseñado para comprimir datos utilizados dentro del sistema operativo Linux, que se ejecuta en prácticamente todos los servidores de acceso público en Internet. En última instancia, esos servidores sustentan Internet, incluidos servicios financieros y gubernamentales vitales. El malware habría servido como “llave maestra” permitiendo a los atacantes robar datos cifrados o colocar otro malware.

La parte más interesante de la historia es cómo llegó allí. XZ Utils es un software de código abierto, lo que significa que su código es público y cualquiera puede inspeccionarlo o modificarlo. En 2022, Lasse Collin, el desarrollador que lo apoyó, descubrió que su “proyecto de pasatiempo no remunerado” se estaba volviendo más oneroso en medio de problemas de salud mental a largo plazo. Un desarrollador llamado Jia Tan, que había creado una cuenta el año anterior, se ofreció a ayudar. Durante más de dos años contribuyeron con código útil cientos de veces, generando confianza. En febrero introdujeron el malware de contrabando.

La importancia del ataque es “enorme”, afirma El Grugq, seudónimo de un investigador de seguridad independiente muy leído entre los especialistas en ciberseguridad. “El backdoor es muy peculiar en su forma de implementarse, pero es algo realmente inteligente y muy sigiloso”; tal vez demasiado sigiloso, sugiere, porque algunos de los pasos dados en el código para ocultar su verdadero propósito pueden haberlo ralentizado y haber activado la alarma de Freund. El enfoque paciente de Jia Tan, respaldado por varios otros relatos que instaron a Collin a pasar el testigo, insinúa una sofisticada operación de inteligencia humana por parte de una agencia estatal, sugiere El Grugq.

Sospecha de SVR, el servicio de inteligencia exterior de Rusia, que en 2019-20 también comprometió el software de gestión de redes SolarWinds Orion para obtener un amplio acceso a las redes del gobierno de EE. UU. El análisis realizado por Rea Karty y Simon Henniger sugiere que el misterioso Jia Tan hizo un esfuerzo por falsificar su zona horaria, pero que probablemente estaban dos o tres horas por delante de la hora media de Greenwich, lo que sugiere que pudieron haber estado en Europa del Este o Rusia Occidental. Por ahora, sin embargo, la evidencia es demasiado débil para identificar al culpable.

El ataque es quizás el ataque a la “cadena de suministro” más ambicioso (uno que explota no una computadora o dispositivo en particular, sino una pieza de software o hardware de back-end) en la memoria reciente. Es también un claro ejemplo de las debilidades de Internet y del código colaborativo en el que se basa. Para los defensores del software de código abierto, los ojos de águila de Freund son una reivindicación de su premisa: el código es abierto, puede ser inspeccionado por cualquiera y eventualmente se encontrarán errores o puertas traseras deliberadas mediante un escrutinio colectivo.

Los escépticos están menos seguros. Algunas herramientas de depuración y seguridad de código detectaron anomalías en «Nadie más había expresado preocupación», escribe. Kevin Beaumont, otro especialista en ciberseguridad. Los ingenieros de software todavía están investigando el funcionamiento interno de la puerta trasera, tratando de comprender su propósito y diseño. “El mundo le debe a Andrés cerveza gratis e ilimitada”, concluye Beaumont. «Simplemente salvó el trasero de todos en su tiempo libre».

El ataque fue detectado y detenido antes de que pudiera causar daños generalizados. No hay manera de saber si Jia Tan, o el equipo aparentemente detrás de esa persona, han estado investigando otras piezas vitales de software de Internet bajo otros alias. Pero a los investigadores de seguridad les preocupa que los cimientos de Internet sean vulnerables a campañas similares. «La conclusión es que hemos añadido incontables miles de millones de dólares al código desarrollado por aficionados», afirma. Michael Zalewski, un experto. Otras puertas traseras pueden acechar sin ser descubiertas.

© 2024, The Economist Newspaper Limited. Reservados todos los derechos.