¿Se pueden evitar los ataques al software de código abierto?
Por qué los ataques de código abierto eluden los métodos de detección, y cómo detenerlos
Los ataques al software de código abierto se pueden evitar, pero no prevenir
Los riesgos de la cadena de suministro de software no dan señales de estar cediendo. En 2023, la tasa de estos ataques duplicó el total combinado de ataques observados de 2019 a 2022.
La protección de la cadena de suministro no es una tarea fácil, pero ¿por qué concretamente? Según el informe anual de Sonatype sobre el Estado de la Cadena de Suministro del Software, el 96 % de los ataques se basó en una vulnerabilidad del software de código abierto (OSS) que ya tenía una revisión disponible, mientras que solo el 4 % de los ataques se consideraron "inevitables". Teniendo en cuenta las numerosas consecuencias de los riesgos del OSS, por ejemplo el robo de credenciales y la pérdida de datos financieros, ¿por qué se siguen produciendo tantos ataques de este tipo si se pueden evitar?
A menudo, el verdadero problema es la visibilidad, es decir, disponer de un sistema para proteger adecuadamente los paquetes de OSS y saber cuáles son vulnerables desde el principio. Estos ataques siguen proliferando, de ahí que este problema esté cobrando más importancia que nunca. Sigue leyendo para descubrir:
¿Por qué los paquetes de OSS son objeto de vulnerabilidades?
¿Por qué las organizaciones suelen pasar por alto el software en riesgo, y se ponen en peligro?
4 prácticas recomendadas para evitar vulnerabilidades comunes del OSS y reducir la probabilidad de ataques
¿Qué dificulta la detección de los ataques al OSS?
Anticiparse a los ataques OSS puede ser un desafío importante para las organizaciones. Según una estimación, 1 de cada 8 descargas de componentes de código abierto en 2023 contenía un riesgo de seguridad conocido, además de los más de 200 millones de paquetes maliciosos que se detectaron ese mismo año.
A continuación, detallamos las razones por las que estos ataques siguen siendo tan frecuentes (y difíciles de evitar):
Los ataques OSS están diseñados para eludir los métodos de detección
Conforme evolucionan, los ataques OSS burlan con frecuencia las medidas de seguridad comunes. Por ejemplo, un ataque al OSS utilizó tanto scripts de preinstalación como tácticas de suplantación de empleados para atacar a un banco e instalar software malicioso en los sistemas de los objetivos. A continuación, el atacante envió una segunda carga malintencionada utilizando un subdominio legítimo, que incorporaba el nombre del banco objetivo y, por tanto, tenía más probabilidades de evitar ser identificado por los sistemas de seguridad.
Los atacantes no solo utilizan métodos sofisticados para pasar desapercibidos, sino que también han desviado su atención de los sistemas y aplicaciones aisladas a los puntos débiles de las herramientas de DevOps, las plataformas, los repositorios de código abierto y los componentes de software. Un ejemplo son los scripts de código abierto que se ejecutan en el lado cliente, ya que la mayoría de las herramientas de seguridad del OSS se centran en el código del lado servidor. En un caso de utilización de esta táctica, los investigadores de seguridad descubrieron que los rastreadores JavaScript de terceros insertados en sitios web que utilizaban "Iniciar sesión con Facebook" se podían utilizar para recopilar datos de inicio de sesión de Facebook.
La revisión de software obsoleto o sobre el que no se realiza mantenimiento tarda más tiempo
Los ataques al OSS pueden llevarse a cabo mediante numerosos métodos, desde engañar a las víctimas para que descarguen paquetes maliciosos hasta vulnerar las actualizaciones de software. Y dado el tiempo que estos ataques pasan inadvertidos, a veces semanas o meses, es de suma importancia revisar las vulnerabilidades lo antes posible.
Sin embargo, cuando las organizaciones utilizan software obsoleto o sobre el que no se realiza ningún mantenimiento, llevar a cabo actualizaciones críticas se convierte en un proceso arduo y lento, que puede aumentar el riesgo de vulnerabilidades y ataques.
¿Hasta qué punto se puede evitar este problema? Según el informe 2023 de Sonatype, hay aproximadamente "10 versiones superiores [de componentes de software] disponibles" por cada actualización peligrosa que hacen las organizaciones.
Las actualizaciones de software pueden vulnerar paquetes previamente inofensivos
En casos aún más insidiosos, los atacantes vulneran las actualizaciones automáticas de software, de modo que los usuarios desprevenidos ejecutan sin saberlo acciones maliciosas. En un ataque, unos tres millones de usuarios fueron objeto de actualizaciones maliciosas de paquetes Python y PHP, que intentaron obtener credenciales de AWS.
Otras actualizaciones maliciosas pueden tardar meses o incluso años en ejecutarse, engañando a los usuarios con una falsa sensación de seguridad cuando ya han revisado y confiado en determinados paquetes de software, como el paquete npm inactivo que intentó filtrar claves privadas Ethereum tras ocho meses de relativo desuso.
4 estrategias para protegerse de los ataques al OSS
Dada la prevalencia y la naturaleza multifacética de los ataques al OSS, es casi imposible que las organizaciones revisen cada programa, rastreen cada componente de software y cataloguen cada vulnerabilidad potencial de su entorno. Sin embargo, existen varias medidas que las organizaciones pueden adoptar para mitigar la mayor amenaza, entre ellas:
1. Usar software de código abierto que incluya "mantenimiento activo".
En la mayoría de los casos, las prácticas de verificación deficientes abren la puerta a los riesgos y ataques al OSS. Cuando las organizaciones evalúen el software y los proyectos de código abierto deben tomar medidas para asegurarse de que no solo están implementando la versión de software más actual, sino que se toman el tiempo necesario para evaluar si ese software se está revisando activamente en busca de vulnerabilidades y se actualiza en consecuencia.
2. Identificar y aplicar la revisión de vulnerabilidades conocidas.
En 2023, más de 2000 millones de descargas de OSS tenían vulnerabilidades conocidas, para las que existían parches. Aunque los atacantes no pueden atacar todas las vulnerabilidades, las organizaciones deben adoptar medidas para mejorar su postura de seguridad evaluando los paquetes de OSS de su entorno y aplicando una revisión siempre que sea posible.
3. Identificar las áreas de mayor riesgo y priorizar las actualizaciones críticas dentro de las cadenas de suministro de software.
La revisión de todas y cada una de las vulnerabilidades puede ser un objetivo poco realista para la mayoría de las organizaciones, pero priorizar los riesgos y las actualizaciones más críticas puede ayudar a mitigar los ataques que probablemente sean más dañinos.
4. Mejorar tu postura global de seguridad con las prácticas recomendadas de Zero Trust para mitigar riesgos y daños.
Un marco de seguridad integral, como Zero Trust, puede ayudar a reducir la superficie de ataque de una organización y mitigar los riesgos de las vulnerabilidades del OSS desactualizadas. Una arquitectura Zero Trust se basa en la suposición de que ninguna entidad es inherentemente de confianza por defecto y cada solicitud a cada recurso se verifica basándose en la identidad y otras señales contextuales. Esto significa que incluso si un atacante vulnera un dispositivo o una parte de la infraestructura, tendrá muchas dificultades para moverse lateralmente o escalar privilegios dentro de un entorno informático. Además, la ampliación del enfoque de "no confiar por defecto" a la actividad web, permite a las organizaciones aislar la navegación por Internet y los dispositivos del código en línea potencialmente peligroso.
Cómo Cloudflare ayuda a impedir los ataques al OSS
La protección contra los ataques modernos al OSS requiere que las organizaciones examinen y protejan cada etapa del ciclo de vida de desarrollo del software, y que desarrollen un conocimiento profundo del software que adoptan. Primero, para identificar la revisión crítica de las vulnerabilidades previamente identificadas, y luego para priorizar los mayores riesgos y las actualizaciones en consecuencia.
La misión de Cloudflare es ayudar a las organizaciones a anticiparse a las amenazas modernas y emergentes, incluidos los ataques a la cadena de suministro de software, y recuperar el control y la visibilidad en todas partes, en todos los entornos informáticos, en todo el ciclo de vida de los ataques y en todo el mundo. En concreto, las organizaciones pueden adoptar la plataforma unificada e inteligente de Cloudflare para reforzar la seguridad en áreas críticas como:
La identificación de scripts de código abierto de terceros, que se ejecutan del lado cliente y que utilizan las aplicaciones web.
La protección de las aplicaciones web contra vulnerabilidades en el software de código abierto y scripts maliciosos, de lado cliente, y código abierto.
El aumento de la visibilidad y el control de la amenaza en toda la cartera digital.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Consigue el libro electrónico Refuerza la seguridad donde quiera que hagas negocios para saber cómo Cloudflare ayuda a las organizaciones a proteger sus datos contra vulnerabilidades de software.
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
En 2023 se produjeron el doble de ataques a la cadena de suministro que en los 4 años anteriores juntos
Por qué las organizaciones pasan por alto vulnerabilidades críticas del software de código abierto (OSS)
4 consejos para minimizar los riesgos del OSS