Cómo un ingeniero evitó un ciberataque global masivo debido a un error de medio segundo | Tecnología

«Accidentalmente encontré un problema de seguridad mientras intentaba renderizar los cambios», escribió el ingeniero Andrés Freund en Red Social Mastodon. En ocasiones, las operaciones más largas y sofisticadas para obtener acceso ilegal a millones de dispositivos de todos son imposibles de llevar a cabo.

El mensaje fue enviado a un enlace de Freund explicando cómo se había encontrado con «un fenómeno de síntoma raro» al actualizar un programa. Llamaré la atención sobre el hecho de que estás utilizando la mayor capacidad de tu procesador y que, sobre todo, tardarás en acceder a él más adelante. Fue entonces cuando su investigación deshizo y expuso el supuesto trabajo oscuro de una agencia de inteligencia estatal durante más de dos años.

“Es muy probable que sea un asunto de aficionados. No tengo ninguna recompensa inmediata”, afirma Lukasz Olejnik, investigador y consultor independiente de ciberseguridad y autor del libro. Filosofía de ciberseguridad (sin traducción al español). “El tiempo dedicado a esta operación de ingeniería, la sofisticación del sistema de puerta trasera y su código, todo indica que existe una organización o agencia que puede autorizar un proyecto como este. Lo que pasa es que es mucho más probable que haya gente pagando”.

El ataque fue el de llamadas de cadena de custodia, que afectó al software que soporta los programas más conocidos y comunes. En este caso, el objetivo era una herramienta de compresión utilizada en Linux, un sistema operativo gratuito y de código abierto. Esta herramienta se utiliza en millones de máquinas. El objetivo del ataque es similar a crear una puerta trasera con una llave especial, que es sólo suya para acceder a cualquier edificio del mundo que será su entrada.

Este sistema lo ejecutan de forma gratuita desarrolladores voluntarios que dedican horas a mantener y actualizar programas independientes. Esta es la llamada de XZ Utils. Durante más de dos años, el emprendedor trabajó en colaboración con el programador responsable de la actualización de este software. La persona encargada de actualizar y responder por correo a las peticiones de respuesta de otros desarrolladores estaba sobrepasado. Parte del ataque consistió en pura ingeniería social: aceptar que alguien que ya le dejó sus mensajes a alguien en lugar de alguien que llamó a Jia Tan.

Si el atacante registra la confianza del código cargado, con el tiempo puede colocar su código de forma maliciosa. Si no lo detectan, este software debe estar ejecutándose en millones de servidores y con acceso privilegiado. No está claro si la intención es utilizarlo para entrar en una máquina específica o en un ataque más masivo.

Debido a que el código y el método requieren capacidades informáticas extraordinarias, el control de estos programas depende del menú de desarrolladores experimentados y sus problemas. En un hilo de mensajes, el responsable no admite haberlo leído todo: «No, ha perdido el interés, pero mi capacidad de implicación tiene una visión limitada, principalmente por problemas de salud mental en gran parte». por otras razones. . Recientemente colaboró ​​en una lista con Jia Tan en XZ Utils y, aunque creemos que publicará un artículo más grande en el futuro. También es importante tener en cuenta que se trata de un proyecto por afición y sin remuneración”, escribe el responsable, que tiene nuevas explicaciones únicas que por el momento no responderá a las revistas “porque primero debemos entender la situación suficientemente a fondo”.

“Hay una montaña de personas que han trabajado en el software, siempre y cuando el código esté abierto comercialmente. En este caso puede ser útil, pero no decisivo”, afirma Olejnik. “Esta es una verificación que incluye software nicho u oscuro, semihumano, que puede ser una garantía de seguridad nacional e internacional. Este es un costo oculto del software. Además, puedes ser culpable de mantener XZ, pero no hay muchos desarrolladores para elegir para este tipo de software», añadió.

Es probable que se carguen otros factores falsamente apresurados para que sea antes de su trabajo en Jia Tan. El caso demuestra ser tanto un éxito como un beneficio para la comunidad que preserva gran parte del código de toda nuestra infraestructura digital. La mejor parte es que encontrar trabajo es relativamente fácil. La cuestión es que el código esté disponible y accesible para que alguien como Andrés Freund pueda detectar la trampa y hacerse famoso.

El propio Freund llora que esta vez tuvo suerte: “No es que crea que no hice nada nuevo. Listo. Queremos decir que tenemos una cantidad irracional de poder y ahora sólo podemos confiar en algo como esto», escribió Mastodon. El ataque es particular por la combinación de factores, pero los bloqueos de software libre en aquellos que están basados ​​en Internet han sido atacados en otros ocasiones, así como por agencias de inteligencia. Es probable que haya otros casos similares corriendo o plantando. Con el código cerrado también hay casos extremadamente famosos.

Una famosa cuenta X (antes Twitter) dedicada a códigos maliciosos creó un meme de recompensa viral para Freund. “La puerta oculta de Xz será la pastilla de un ingeniero de software de Microsoft. Tiene una latencia de 500 armas y cree que tiene algo raro. Este tipo es la espalda plateada de los frikis gorilla. Al puto le encanta internet.

Es aún más cierto que este otro puede ser como, en este caso, el software esencial del mundo fue “gestionado de manera específica por un actor pagado por un Estado en horario de oficina”. El dibujo original que está basado en el mismo trabajo del diseñador Randall Munroe y el pie de foto es algo que sucede en la realidad: «Un proyecto que una persona de Nebraska lleva realizando desde 2003 sin que mejore». .

Puedes seguir un EL PAÍS Tecnología fr. FacebookX o haga clic aquí para recibir el nuestro boletín semanal.