Un ciberataque silencioso estuvo a punto de comprometer las computadoras de todo el mundo
El ciber susto, que quizás involucre a Rusia, muestra que el código de Internet es vulnerable
La parte más interesante de la historia es cómo llegó allí. XZ Utils es un software de código abierto, lo que significa que su código es público y cualquier persona puede inspeccionarlo o modificarlo. En 2022, Lasse Collin, el desarrollador que lo mantenía, descubrió que su “proyecto de pasatiempo no remunerado” se estaba volviendo más oneroso en medio de problemas de salud mental a largo plazo. Un desarrollador llamado Jia Tan, que había creado una cuenta el año anterior, se ofreció a ayudar. Durante más de dos años contribuyeron con código útil en cientos de ocasiones, generando confianza. En febrero introdujeron el malware de contrabando.
La importancia del ataque es “enorme”, dice The Grugq, seudónimo de un investigador de seguridad independiente muy leído entre los especialistas en ciberseguridad. “La puerta trasera es muy peculiar en la forma en que se implementa, pero es algo realmente inteligente y muy sigiloso”; tal vez demasiado sigiloso, sugiere, porque algunos de los pasos tomados en el código para ocultar su verdadero propósito pueden haberlo ralentizado y Esto hizo sonar la alarma del señor Freund. El enfoque paciente de Jia Tan, respaldado por varios otros relatos que instaron a Collin a pasar el testigo, insinúa una sofisticada operación de inteligencia humana por parte de una agencia estatal, sugiere The Grugq.
Sospecha del SVR, el servicio de inteligencia exterior de Rusia, que en 2019-20 también comprometió el software de gestión de red SolarWinds Orion para obtener un amplio acceso a las redes del gobierno estadounidense. El análisis realizado por Rhea Karty y Simon Henniger sugiere que el misterioso Jia Tan hizo un esfuerzo por falsificar su zona horaria, pero que probablemente estaban dos o tres horas por delante de la hora media de Greenwich, lo que sugiere que pudieron haber estado en Europa oriental o Rusia occidental. Por ahora, sin embargo, la evidencia es demasiado débil para identificar al culpable.
El ataque es quizás el más ambicioso a la “cadena de suministro” (uno que explota no una computadora o dispositivo en particular, sino una pieza de software o hardware de back-end) en la memoria reciente. También es un claro ejemplo de las debilidades de Internet y del código colaborativo en el que se basa. Para los defensores del software de código abierto, los ojos de águila de Freund son una reivindicación de su premisa: el código es abierto, puede ser inspeccionado por cualquiera y eventualmente se encontrarán errores o puertas traseras deliberadas mediante un escrutinio colectivo.
Los escépticos están menos seguros. Algunas herramientas de depuración y seguridad de código detectaron las anomalías en XZ Utils, pero Freund reconoce “la cantidad de coincidencias que tuvieron que unirse para encontrar esto”, incluida una serie de decisiones técnicas pero arbitrarias que tomó mientras solucionaba un problema no relacionado. “Nadie más había expresado su preocupación”, escribe Kevin Beaumont, otro especialista en ciberseguridad. Los ingenieros de software todavía están investigando el funcionamiento interno de la puerta trasera, intentando comprender su propósito y diseño. “El mundo le debe a Andres cerveza gratis e ilimitada”, concluye Beaumont. “Simplemente salvó el trasero de todos en su tiempo libre”.
El ataque fue detectado y detenido antes de que pudiera causar daños generalizados. No hay manera de saber si Jia Tan, o el equipo aparentemente detrás de esa persona, han estado investigando otras piezas vitales de software de Internet bajo otros alias. Pero a los investigadores de seguridad les preocupa que los cimientos de Internet sean vulnerables para campañas similares. “La conclusión es que tenemos incontables billones de dólares sumados al código desarrollado por aficionados”, señala Michal Zalewski, un experto. Otras puertas traseras pueden acechar sin ser descubiertas.