Etek International Corporation alertó sobre una nueva ciber-amenaza de escala global que puede ser fatal para todas las organizaciones y usuarios si no se realizan actualizaciones y mejoras de seguridad. El fallo, fue detectado por un grupo de investigadores de la Universidad de Cambridge que lo bautizó ‘Trojan Source’. Este troyano afecta a los compiladores de código, estos, son programas que ayudan a que el código fuente desarrollado por humanos sea comprendido por las máquinas.
Los investigadores descubrieron una nueva técnica para inyectar código fuente potencialmente maligno, de modo tal que los revisores humanos vean una versión inofensiva, mientras que los compiladores ven la versión invisible y maligna.
Según los investigadores, casi todos los compiladores de software —desde C++, hasta Python y Java— tienen un error que, cuando se explota de forma adecuada permite secuestrarlos con fines maliciosos y de manera totalmente invisible. Para lograrlo, los atacantes utilizan caracteres de control bidireccionales (también conocidos como caracteres BiDi) que son inyectados de forma maliciosa dentro de los comentarios del código fuente sin que los desarrolladores se percaten.
Además, los investigadores descubrieron que la mayoría de los compiladores y editores de código no tienen protocolos para manejar caracteres BiDi o señalar su presencia dentro de los comentarios del código fuente.
Recordemos que Unicode, un estándar para formar caracteres y extender el repertorio de compatibilidad con los símbolos existentes, define más de 143.000 caracteres en 154 idiomas diferentes, incluyendo otros caracteres que no se basan en escritura como los emojis.
“Un ataque basado en Trojan Source puede poner en peligro todo el código fuente, lo que representa «una amenaza inmediata tanto para el software original como para el compromiso de la cadena de suministro en todas las industrias», aseguró Nicholas Boucher, de la Universidad de Cambridge.
MITIGACIÓN Y REMEDIACIÓN
Las organizaciones deben tomar medidas inmediatas para reducir el riesgo y establecer defensas sólidas para proteger sus activos digitales, infraestructuras y datos críticos del negocio, incluyendo las aplicaciones y el software.
La recomendación inicial para mitigar esta falla es estar pendientes de las actualizaciones de seguridad de los compiladores oficiales e instalar los parches correspondientes. También conviene visitar continuamente el sitio web Trojansource.codes de la Universidad de Cambridge para conocer más detalles sobre actualizaciones, técnicas y variantes descubiertas.
“Mientras esperamos a que se publiquen parches para la mayoría de compiladores existentes en el mercado, podemos dejar la mala práctica de copiar y pegar código fuente, ya que puede venir inyectado con malware”, dijo Luis Alejandro Ruíz, Líder de Gobierno de Servicios, Etek International Corporation. “Siempre es mejor reescribirlo por sí mismo, utilizar editores de texto para mostrar Unicode o pegar primero el código en un editor hexadecimal para verificarlo a cabalidad”.
No basta con contener el ataque; de hecho, las organizaciones deben establecer un plan claro sobre los pasos a seguir teniendo presentes tanto las obligaciones financieras como el cumplimiento de la reglamentación. Finalmente, se recomienda establecer políticas de seguridad, planes de contingencia, jornadas de sensibilización de usuarios y realizar valoraciones sobre potenciales amenazas.