Código abierto y malware, una relación compleja

Uno de los puntos fuertes de código abierto según la gran comunidad que defiende este modelo frente a los modelos cerrados, es su seguridad. Y sus argumentos tienen todo el sentido, pues el público escrutinio del mismo suele ser de gran ayuda a la hora de detectar posibles problemas de seguridad. Y la disposición de la comunidad a ponerse manos a la obra, permite que en muchos casos la misma persona que detecta el problema sea la que de los primeros pasos para solucionarlo.

Así, sé que puede sonar raro, en primera instancia, hablar de los problemas del código abierto, pero desgraciadamente es así, y es que la comunidad del malware ya puso hace tiempo su atención en el mismo, y desgraciadamente ha sabido encontrar el modo de explotar sus debilidades al punto de que, según podemos leer en Helpnet Security, los ciberataques que abusan del código abierto se han incrementado en un 650%, con los proyectos más populares en el epicentro de sus actividades.

Este problema viene de la mano, claro, de la popularización del código abierto. Su proliferación y su integración en todo tipo de entornos ha propiciado que cada día más desarrollos se basen en éste. Y el problema es que, en ocasiones, las modificaciones malintencionadas en determinados repositorios pueden pasar desapercibidas. Y el problema se eleva cuando ese código manipulado es empleado en soluciones que  se integran en la cadena de suministros. Y lo mismo ocurre con las modificaciones bienintencionadas, pero que contienen problemas.

Según podemos leer en dicho artículo, los desarrolladores de software toman decisiones que no son óptimas el 69% de las ocasiones cuando actualizan dependencias de terceros. La tendencia de pensar que las versiones más actuales son siempre las mejores conlleva ciertos riesgos, como emplear código que todavía no ha sido suficientemente revisado y que, por lo tanto  puede tener problemas. Y el problema es que en muchas ocasiones, esos elementos de código abierto se mantienen en el tiempo, en vez de actualizarse, dejando la puerta abierta a la explotación de sus potenciales problemas.

Esto puede parecer una circunstancia puntual, pero en realidad hablamos de que los responsables de los desarrollos solo administran directamente el 25 por ciento de los componentes que utilizan en sus desarrollos. Esto deja hasta un 75% de componentes que, desgraciadamente, quedan desatendidos, y que debido al escrutinio al que son sometidos, así como al riesgo de que se haya introducido malware en los mismos coincidiendo con su obtención, deja expuesto un 75% de los proyectos.

¿Significa esto que el código abierto es inseguro? No, en absoluto, a día de hoy sigue siendo una excelente opción. Sin embargo, lo que es necesario es establecer políticas de seguridad relacionadas con el mismo. La fragilidad de la cadena de suministros ha quedado más que evidenciada a lo largo del último año, y los ciberdelincuentes se han dado cuenta de su increíble potencial. Si incorporamos soluciones de código abierto a nuestros desarrollos, debemos preocuparnos de su seguridad, optando siempre por versiones más que probadas y seguras, y actualizando componentes siempre que se detecten problemas de seguridad relacionados con las dependencias.

La entrada Código abierto y malware, una relación compleja es original de MuySeguridad. Seguridad informática.