El 29 de marzo, un ciberataque de escala mundial fue detenido por un programador llamado Andres Freund, quien trabaja en Microsoft. Freund evitó el ataque al percatarse de que la conexión al servidor SSH estaba tomando más tiempo del necesario; en palabras de programadores junior, es “el gorila líder de los nerds”.
Freund se encontraba cumpliendo con su trabajo en la programación del código del sistema PostgreSQL, que se utiliza para gestionar bases de datos cuando señaló que“los ingenieros especialistas saben que Internet es un conjunto de piezas desordenadas que se mantienen unidas por cinta adhesiva”, lo que le permitió evidenciar un backdoor presente en Linux, lo cual le resultó inquietante debido que el uso de estas puertas en el sistema permite el ingreso de cualquier usuario y la ejecución de software malicioso.
Su olfato de desarrollador se activó cuando evidencio una demora de 5 milisegundos en la conexión con el servidor que lo inquietó, por lo que decidió rastrear el origen de esta alerta o puerta trasera, consiguiendo llegar al sistema de compilación de datos xz Utils. El mayor problema radica en que, al ser Linux el sistema abierto más utilizado en todo el mundo, se emplea tanto en bancos, hospitales como en empresas de la lista Fortune 500, queda claro que su seguridad es primordial.
Luego de su indagación, Andres Freund, descubrió que alguien había insertado código malicioso en las versiones más recientes de xz Utils, más conocido como una puerta trasera que permitiría al creador secuestrar la conexión SSH de un usuario y ejecutar su propio código en secreto en la máquina de ese usuario.
Inicialmente, Freund dudó de sus hallazgos ¿Realmente había encontrado una puerta trasera en uno de los programas de código abierto más analizados del mundo?, “Sentí que era surreal”, comento. “Pensé varias veces que tal vez había dormido mal y estaba delirando”.
Sin embargo, a medida que continuó su análisis, identificó nuevas pruebas, las cuales compartió sus hallazgos con un grupo de desarrolladores de software de código abierto, y la noticia rápidamente causó alarma en el mundo tecnológico; en cuestión de horas, se implementó una reparación, y algunos investigadores le dieron crédito a Freund por haber evitado un ciberataque que podría haber sido histórico a nivel mundial.
Aunque nadie sabe quién introdujo la puerta trasera, parece que el plan era tan elaborado que algunos investigadores están convencidos de que solo podría haber sido obra de una nación con habilidades tremendas para concebir ataques cibernéticos, como Rusia o China.
Según algunos investigadores que han revisado la evidencia, todo parece indicar que el atacante utilizaba un pseudónimo, “Jia Tan”, para sugerir cambios en xz Utils desde incluso 2022. En muchos proyectos de software de código abierto, se rigen mediante un sistema jerárquico: los desarrolladores proponen cambios al código de un programa, y luego los programadores más experimentados se encargan de revisar y aprobar los cambios.
Se cree que el atacante, utilizando el nombre Jia Tan, trabajó varios años para ganarse poco a poco la confianza de otros desarrolladores de xz Utils y obtener más control sobre el proyecto. Finalmente, ascendió en la jerarquía interna y insertó el código con la puerta trasera oculta este mismo año. Aunque la nueva versión manipulada del código ya se había dado a conocer, todavía no era de uso generalizado.