Una de la reglas fundamentales de la seguridad informática nos dice que debemos mantener actualizados todos los programas que utilizamos. Sin embargo, este principio tiene excepciones, al menos según el banco más importante de Rusia, que ha pedido a sus clientes que temporalmente dejen de lado las actualizaciones de software.
Según recoge TASS, Sberbank insta a los usuarios a evitar la descarga e instalación de actualizaciones de cualquier programa. La entidad de crédito pide, además, que los desarrolladores en general "refuercen el control sobre el uso de código fuente externo" debido al aumento de casos de "contenido provocativo" detectado en este tipo de software.
Para quienes tengan la necesidad urgente de utilizar sus programas actualizados, el banco ruso sugiere dos soluciones, una de la cuales es poco práctica y no está al alcance de la mayoría de los usuarios. Analizar los archivos con un software antivirus o realizar una inspección manual del código fuente de la actualización.
Cuando en el código abierto se filtra código malicioso
Durante las últimas semanas hemos visto como Occidente ha incrementado las sanciones económicas contra Moscú y muchas compañías han decido dejar de operar en el país. Algunas de las propuestas invitaban a las tecnológicas a dejar de suministrar actualizaciones a los usuarios rusos, pero no se ha llegado a ese punto por el riesgo de seguridad que representa.
No obstante, paralelamente surgió un movimiento conocido como "protestware" cuyo objetivo es agregar "código de protesta contra de la guerra de Ucrania" en proyectos de software de código abierto. Según los observadores, "protestware" se ha manifestado de diferentes formas en más de 30 proyectos activos.
Estamos hablando, por ejemplo, de cambios en la librería JavaScript node-ipc, que es parte del marco Vue.js que se utiliza para crear interfaces de usuario. El nuevo código verificaba a través de la dirección IP si el ordenador se encontraba en Rusia y Bielorrusia y, en caso de ser así, borraba los datos del usuario, cambiaba archivos por otros con símbolos de corazón o mostraba mensajes contra de la guerra.
De acuerdo a la base de datos de vulnerabilidades de código abierto, un desarrollador agregó código a node-ipc para que se cree un archivo llamado "CON-AMOR-DE-AMERICA.txt" y se guardara en el escritorio de los usuarios y en OneDrive. Este método de protesta, no fue bien recibido y recibió una identificación de vulnerabilidad CVE-434 por sus cambios no consentidos.
Como recoge The Verge, algunos analistas de seguridad han rechazado la idea de realizar protestas de este modo, incluso en causas nobles, y han calificado a estas acciones como "sabotaje de módulos". La analista Selena Larson se refirió a ello como “inseguridad forzada", tras el pedido de Sberbank por la amenaza de "protestware".
Ventajas y desventajas
Recordemos que una de las ventajas del software de código abierto es que cualquiera puede hacer su aporte, modificando o inspeccionando el código. Esto permite que los proyectos sean más transparentes y seguros, en la práctica, porque como podemos ver también facilita el sabotaje de ciertas librerías que son tremendamente utilizadas.
Cabe señalar que la existencia de vulnerabilidades en las librerías de código abierto no es algo nuevo. Muchas de ellas, recordemos a Log4Shell, pasan desapercibidas durante mucho tiempo. De hecho, algunas jamás reciben una identificación CVE que permite a los desarrolladores y clientes abordar el problema de seguridad.
La guerra de Ucrania plantea importantes desafíos éticos relacionados a la tecnología en el sentido de cómo involucrarse y, en caso de querer, manifestarse. Dado que las librerías de código abierto son utilizadas por millones de programas alrededor del mundo es importante tener en cuenta que ciertas acciones pueden reducir la confianza en estas.
En cuanto a los alcances del pedido del banco ruso, esto puede tener un daño colateral. Software no actualizado es sinónimo de mayores riesgos de seguridad informática. Las amenazas, por su parte, son mucho más que el movimiento de "protestwar" y continúan circulando por internet buscando cosechar nuevas víctimas.
Pero estos no son los únicos dolores de cabeza tecnológicos a los que se enfrenta Rusia. Con la huida de compañías como Amazon, Microsoft y Google, el país tiene una crisis de almacenamiento en la nube en puerta. Se trata de un problema que podría hacer que los "sistemas críticos" de la autoridades federales y regionales empiezan a dar problemas.
Imágenes| Unsplash
Ver 14 comentarios