C¨®mo un ingeniero evit¨® un enorme ciberataque global por un error de medio segundo

¡°Encontr¨¦ accidentalmente un problema de seguridad mientras hac¨ªa pruebas de rendimiento de cambios¡±, escribi¨® el ingeniero Andres Freund en la red social Mastodon. Ese hallazgo casual impidi¨® que progresara una de las operaciones m¨¢s largas y sofisticadas para obtener acceso ileg¨ªtimo a millones de dispositivos de todo el mundo.

El mensaje llevaba a un enlace donde Freund explicaba c¨®mo hab¨ªa encontrado ¡°un pu?ado de s¨ªntomas raros¡± al actualizar un programa. Le llam¨® la atenci¨®n que usaba m¨¢s capacidad de su procesador y que, sobre todo, tardaba medio segundo m¨¢s en acceder. Ese medio segundo levant¨® sus sospechas y le permiti¨® descubrir el trabajo oscuro durante m¨¢s de dos a?os de lo que presuntamente era una agencia de inteligencia estatal.

¡°Es muy poco probable que haya sido obra de aficionados. No hab¨ªa recompensas inmediatas¡±, dice Lukasz Olejnik, investigador y consultor independiente en ciberseguridad y autor del libro Philosophy of Cibersecurity [sin traducci¨®n al espa?ol]. ¡°El tiempo dedicado a esta operaci¨®n de enga?o, la sofisticaci¨®n del sistema de puerta trasera y su c¨®digo, todo indica hacia una organizaci¨®n o agencia que puede permitirse un proyecto as¨ª. Es mucho m¨¢s probable que se haya hecho pagando sueldos¡±.

El ataque era de los llamados de la cadena de suministro, que afectan al software que sostiene los programas m¨¢s conocidos y habituales. En este caso, el objetivo era una herramienta de compresi¨®n usada en Linux, un sistema operativo gratis y de c¨®digo abierto. Esa herramienta se usa en millones de m¨¢quinas. El objetivo del ataque es similar a crear una puerta trasera con una llave especial, que solo ten¨ªan ellos, para acceder a cualquier edificio del mundo que tuviera esa entrada.

Este sistema se mantiene gracias a desarrolladores voluntarios que dedican horas a mantener y actualizar distintos programas. Este se llamaba XZ Utils. Hace algo m¨¢s de dos a?os el atacante empez¨® a colaborar con el programador que estaba al cargo de actualizar este software. El encargado de actualizar y responder por correo a peticiones de retoques de otros desarrolladores estaba sobrepasado. Y as¨ª, una parte del ataque consist¨ªa en pura ingenier¨ªa social: convencerlo de que dejara parte de sus tareas a la persona detr¨¢s de una cuenta de alguien que se hac¨ªa llamar Jia Tan.

Si el atacante lograba la confianza del encargado de ese c¨®digo podr¨ªa, con el tiempo, colocar su c¨®digo malicioso. Si no hubiera sido detectado, este software habr¨ªa sido desplegado en millones de servidores y dado un acceso privilegiado. No est¨¢ claro si la intenci¨®n era usarlo para entrar en una o varias m¨¢quinas espec¨ªficas o un ataque m¨¢s masivo.

A pesar de que el c¨®digo y el m¨¦todo requieren de extraordinarias habilidades inform¨¢ticas, el control de estos programas depende a menudo de desarrolladores estresados y con sus problemas. En un hilo de mensajes, el encargado admite no llegar a todo: ¡°No he perdido el inter¨¦s, pero mi capacidad de implicarme se ha visto bastante limitada, en su mayor¨ªa debido a problemas de salud mental a largo plazo, pero tambi¨¦n por algunas otras razones. Recientemente, he colaborado fuera de lista con Jia Tan en XZ Utils y, quiz¨¢s, ¨¦l tendr¨¢ un papel m¨¢s importante en el futuro, veremos. Tambi¨¦n es importante tener en cuenta que este es un proyecto de afici¨®n sin remuneraci¨®n¡±, escribe el encargado, cuyas ¨²nicas nuevas explicaciones han sido que de momento no responder¨¢ a periodistas ¡°porque primero¡± necesita ¡°entender la situaci¨®n lo suficientemente a fondo¡±.

¡°Hay un mont¨®n de gente quemada en el software, tanto en el de c¨®digo abierto como en el comercial. En este caso puede ser ¨²til, pero no un factor decisivo¡±, dice Olejnik. ¡°Es una prueba contundente de que incluso el software de nicho u oscuro, semihu¨¦rfano, puede ser un asunto de seguridad nacional e internacional. Es un coste oculto del software. Por otro lado, nadie puede culpar al mantenedor de XZ, no hay una amplia elecci¨®n de desarrolladores para este tipo de software¡±, a?ade.

Es probable que otras cuentas falsas presionaran al encargado para que cediera antes su labor a Jia Tan. El caso revela a la vez un ¨¦xito y un agujero de la comunidad que mantiene buena parte del c¨®digo de toda nuestra infraestructura digital. El agujero es que encontrar el eslab¨®n d¨¦bil es relativamente f¨¢cil. El ¨¦xito es que el c¨®digo est¨¢ disponible y accesible para que alguien como Andres Freund pueda detectar la trampa y hacerse famoso.

El propio Freund cree que esta vez tuvieron suerte: ¡°No es que crea que no hice nada nuevo. Lo hice. Lo que quiero decir es que tuvimos una cantidad irracional de suerte y no podemos solo confiar en algo as¨ª de ahora en adelante¡±, escribi¨® en Mastodon. El ataque es especial por la combinaci¨®n de factores, pero los bloques de software de c¨®digo libre sobre los que se basa internet han sido atacados en otras ocasiones, tambi¨¦n por presuntas agencias de inteligencia. Es probable de hecho que haya otros casos similares en marcha o planteamiento. Con c¨®digo cerrado tambi¨¦n ha habido casos extremadamente c¨¦lebres.

Una cuenta c¨¦lebre de X (antes Twitter) dedicada al c¨®digo malicioso ha hecho un meme viral de agradecimiento a Freund. ¡°La puerta trasera de xz la pill¨® un ingeniero de software de Microsoft. Se dio cuenta de una latencia de 500 milisegundos y pens¨® que hab¨ªa algo raro. Este tipo es el gorila de espalda plateada de los frikis. El puto amo de internet.¡±

Tiene a¨²n m¨¢s sentido este otro meme que muestra c¨®mo, en este caso, el software esencial del mundo era ¡°mantenido sospechosamente por un actor pagado por el Estado en horas de oficina¡±. El dibujo original en que se basa ese meme es obra del dibujante Randall Munroe y en la leyenda pone algo parecido a lo que ocurre en la realidad: ¡°Un proyecto que una persona cualquiera de Nebraska lleva manteniendo desde 2003, sin que nadie se lo agradezca¡±.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.