En 2020, XKCD , una popular tira cómica en línea, publicó una caricatura que representa una disposición tambaleante de bloques con la etiqueta: “Toda la infraestructura digital moderna”. Encaramado precariamente en la parte inferior, sosteniendo todo, había un ladrillo delgado y solitario: “Un proyecto que una persona cualquiera en Nebraska ha estado manteniendo ingratamente desde 2003″. La ilustración rápidamente se convirtió en un clásico de culto entre las personas con mentalidad técnica, porque resaltaba una dura verdad: el software en el corazón de Internet no lo mantienen corporaciones gigantes o burocracias en expansión, sino un puñado de voluntarios serios que trabajan duro en la oscuridad. Un susto en materia de seguridad cibernética en los últimos días muestra cómo el resultado puede ser casi un desastre.
El 29 de marzo Andrés Freund, ingeniero de Microsoft, publicó una breve historia policial. En las últimas semanas había notado que SSH (un sistema para iniciar sesión de forma segura en otro dispositivo a través de Internet) funcionaba unos 500 milisegundos más lento de lo esperado. Una inspección más cercana reveló un código malicioso incrustado en lo profundo de XZ Utils, un software diseñado para comprimir datos utilizados dentro del sistema operativo Linux, que se ejecuta en prácticamente todos los servidores de Internet de acceso público. En última instancia, esos servidores sustentan Internet, incluidos servicios financieros y gubernamentales vitales. El malware habría servido como una “llave maestra”, permitiendo a los atacantes robar datos cifrados o colocar otro malware.
La parte más interesante de la historia es cómo llegó allí. XZ Utils es un software de código abierto, lo que significa que su código es público y cualquier persona puede inspeccionarlo o modificarlo. En 2022, Lasse Collin, el desarrollador que lo mantenía, descubrió que su “proyecto de pasatiempo no remunerado” se estaba volviendo más oneroso en medio de problemas de salud mental a largo plazo. Un desarrollador llamado Jia Tan, que había creado una cuenta el año anterior, se ofreció a ayudar. Durante más de dos años contribuyeron con código útil en cientos de ocasiones, generando confianza. En febrero introdujeron el malware de contrabando.
La importancia del ataque es “enorme”, dice The Grugq, seudónimo de un investigador de seguridad independiente muy leído entre los especialistas en ciberseguridad. “La puerta trasera es muy peculiar en la forma en que se implementa, pero es algo realmente inteligente y muy sigiloso”; tal vez demasiado sigiloso, sugiere, porque algunos de los pasos tomados en el código para ocultar su verdadero propósito pueden haberlo ralentizado y Esto hizo sonar la alarma del señor Freund. El enfoque paciente de Jia Tan, respaldado por varios otros relatos que instaron a Collin a pasar el testigo, insinúa una sofisticada operación de inteligencia humana por parte de una agencia estatal, sugiere The Grugq.
La parte más interesante de la historia es cómo llegó allí. XZ Utils es un software de código abierto, lo que significa que su código es público y cualquier persona puede inspeccionarlo o modificarlo. En 2022, Lasse Collin, el desarrollador que lo mantenía, descubrió que su “proyecto de pasatiempo no remunerado” se estaba volviendo más oneroso en medio de problemas de salud mental a largo plazo. Un desarrollador llamado Jia Tan, que había creado una cuenta el año anterior, se ofreció a ayudar. Durante más de dos años contribuyeron con código útil en cientos de ocasiones, generando confianza. En febrero introdujeron el malware de contrabando.
La importancia del ataque es “enorme”, dice The Grugq, seudónimo de un investigador de seguridad independiente muy leído entre los especialistas en ciberseguridad. “La puerta trasera es muy peculiar en la forma en que se implementa, pero es algo realmente inteligente y muy sigiloso”; tal vez demasiado sigiloso, sugiere, porque algunos de los pasos tomados en el código para ocultar su verdadero propósito pueden haberlo ralentizado y Esto hizo sonar la alarma del señor Freund. El enfoque paciente de Jia Tan, respaldado por varios otros relatos que instaron a Collin a pasar el testigo, insinúa una sofisticada operación de inteligencia humana por parte de una agencia estatal, sugiere The Grugq.
Fuente y redacción: infobae.com
