Investigadores de seguridad alertan sobre un riesgo 'persistente' de una herramienta de código abierto ampliamente utilizada en EE. UU.

Desde la invasión de Ucrania por parte de las tropas rusas hace más de tres años, las empresas y ejecutivos tecnológicos de Rusia han sido ampliamente sancionados por su apoyo al Kremlin. Entre ellos se encuentra Vladimir Kiriyenko, hijo de un alto asesor de Vladimir Putin y CEO de VK Group, la empresa que opera VK, el equivalente ruso de Facebook, que ha adoptado una postura cada vez más represiva bajo el régimen.

Investigadores en ciberseguridad han alertado que un componente de código abierto utilizado comúnmente, vinculado a la compañía de Kiriyenko y gestionado por desarrolladores rusos, podría representar un riesgo "persistente" para la seguridad nacional de los Estados Unidos. Este software de código abierto, llamado easyjson, ha sido ampliamente utilizado por el Departamento de Defensa de EE. UU. y en sectores como finanzas, tecnología y salud, según indica Hunted Labs, la firma de seguridad responsable de estas afirmaciones. La preocupación radica en la posibilidad de que Rusia modifique easyjson para robar datos o llevar a cabo otros abusos.

Hayden Smith, cofundador de Hunted Labs, señala que easyjson es un paquete crítico dentro del ecosistema nativo en la nube, mantenido por un grupo de individuos en Moscú que pertenece a una organización con un historial sospechoso. A lo largo de las décadas, el software de código abierto ha sustentado parte de la industria tecnológica y los sistemas de los que dependen las personas a diario, ya que permite ver y modificar el código, facilitando mejoras y la detección de vulnerabilidades. Sin embargo, la disrupción de las normas geopolíticas y el aumento de los ataques encubiertos a las cadenas de suministro han generado cuestionamientos sobre los niveles de riesgo del "código extranjero".

Easyjson es una herramienta de serialización de código para el lenguaje de programación Go, utilizada en el ecosistema de la nube y presente en otros software de código abierto. El paquete es alojado en GitHub a través de una cuenta de MailRu, que pertenece a VK desde que la compañía de correo se rebranded en 2021. Desde su introducción en GitHub en 2016, la mayoría de sus actualizaciones se realizaron antes de 2020. Kiriyenko asumió como CEO de VK Group en diciembre de 2021 y fue sancionado en febrero de 2022.

El análisis de Hunted Labs muestra que los desarrolladores más activos del proyecto en los últimos años se han definido como basados en Moscú, aunque hasta ahora no se han identificado vulnerabilidades en el código de easyjson. Sin embargo, la conexión con la compañía del CEO sancionado, junto con las agresivas ciberataques respaldados por el estado ruso, podrían incrementar los riesgos potenciales, afirma Smith. También se señala que herramientas de serialización de código podrían ser explotadas por hackers malintencionados para causar daños graves a la infraestructura crítica de EE. UU. o para campañas de espionaje.

George Barnes, exsubdirector de la Agencia de Seguridad Nacional (NSA) y actual asesor senior en Hunted Labs, menciona que los hackers de las agencias de inteligencia rusas podrían considerar easyjson como una oportunidad potencial para abusar en el futuro. A pesar de que el código es eficiente y no cuenta con vulnerabilidades conocidas, existe preocupación debido a la conexión con VK, que tiene lazos estrechos con el Kremlin.

VK Group no ha respondido a solicitudes de comentarios sobre easyjson. Asimismo, el Departamento de Defensa de EE. UU. no ha ofrecido declaraciones sobre el uso de easyjson en sus sistemas. La NSA ha indicado que no tiene comentarios específicos sobre el software, aunque su centro de colaboración en ciberseguridad está abierto a recibir información del sector privado.

GitHub, propiedad de Microsoft, afirma que investigará problemas y tomará acción cuando sus políticas sean violadas, aunque no tiene conocimiento de código malicioso en easyjson. La respuesta de otras empresas tecnológicas hacia VK varía, como lo demuestra el hecho de que Apple eliminó la aplicación de VK de su App Store tras las sanciones a líderes de bancos rusos.

Según Dan Lorenc, CEO de la firma Chainguard, easyjson presenta conexiones a Rusia que son evidentes y un riesgo de ciberseguridad ligeramente mayor que otras bibliotecas de software. Subraya que, a diferencia de otros proyectos de código abierto, los detalles sobre los desarrolladores no siempre son claros ni verificables, lo que incrementa la incertidumbre.

A medida que continúa la invasión de Ucrania, se ha intensificado la vigilancia sobre el uso de sistemas de código abierto y el impacto de las sanciones. En el último año, ha habido medidas concretas, como la remoción de desarrolladores rusos de ciertos proyectos de código abierto debido a sanciones. El panorama de riesgos ha cambiado, especialmente con la amenaza de ataques a las cadenas de suministro, como se evidenció en el caso del misterioso atacante conocido como Jia Tan, que logró instalar un backdoor en el software XZ Utils.

La evolución de la situación resalta que las antiguas suposiciones sobre la confianza en los desarrolladores de código abierto ya no son válidas debido a la velocidad de los lanzamientos y actualizaciones. Expertos como Nancy Mead, del Software Engineering Institute de Carnegie Mellon, indican que antes, el desarrollo de OSS era realizado por un grupo pequeño de desarrolladores de confianza, algo que ha cambiado drásticamente.

Scott Hissam, también del Carnegie Mellon, menciona que aunque hay un creciente interés en recopilar detalles sobre los proyectos de código abierto, aún no hay un movimiento masivo que considere estos factores. Smith de Hunted Labs está investigando otros proyectos de código abierto y sus riesgos asociados, instando a los usuarios a tomar decisiones informadas sobre su uso. La conclusión es que el software de código abierto sigue siendo beneficioso, pero los riesgos asociados han evolucionado con el tiempo.