Suscríbete a nuestro podcast. Y mejor aún, a nuestro boletín mensual: todo cosas útiles que no encontrarás en otro lado, una vez al mes.
En el siempre cambiante mundo del desarrollo de software, la seguridad sigue siendo una preocupación fundamental. Sin embargo, en un giro inesperado, un fenómeno oscuro, está comenzando a acechar por los rincones de los códigos fuente de casi todos los programas: el apocalipsis del código zombi.
Este término, acuñado recientemente por los expertos en seguridad de la firma Synopsys, describe la presencia generalizada de componentes obsoletos que llevan años sin actualizarse pero que persisten en los proyectos de código abierto, desatando una ola de vulnerabilidades no parcheadas que acechan en las sombras de nuestros sistemas.
El alcance del problema
Synopsys es una empresa americana que se dedica al diseño de chips y la seguridad de software para industrias de alta tecnología como la de semiconductores, las comunicaciones y la aeroespacial. En su último informe de seguridad de software, revela una situación alarmante: el 91% de los proyectos de código examinados contienen componentes que datan de al menos 10 versiones atrás. Este software arcaico deja a los sistemas expuestos a vulnerabilidades conocidas y explotables que, de otro modo, podrían haberse mitigado con actualizaciones simples y regulares.
Pero el problema va más allá de la obsolescencia. Sorprendentemente, el 49% de estos proyectos OSS analizados han permanecido inactivos durante los últimos dos años, sin recibir ni siquiera el más mínimo ajuste.
Esta falta de atención deja a los sistemas vulnerables ante amenazas emergentes, que podrían aprovecharse de lagunas de seguridad abandonadas durante años.
Esto va más allá de los ataques de infraestructura de código ya que no necesitan crakear ningún repositorio para que el código malicioso llegue a ti. El código vulnerable ya lo tiene tu aplicación, al depender de un proyecto cuya seguridad está obsoleta y las vulnerabilidades son ampliamente conocidas.
El desafío de la seguridad continua
La edad promedio de las vulnerabilidades de código abierto detectadas en este análisis es de 2,5 años, con un 25% de los proyectos afectados por vulnerabilidades que datan de hace más de una década.
Esta situación plantea una pregunta crucial: ¿cómo podemos mantener la seguridad en un entorno donde las amenazas persisten durante años sin ser detectadas?
Además, la seguridad ha mostrado un declive constante año tras año. En el informe de 2022, el 48% de los proyectos examinados mostraban vulnerabilidades de alto riesgo. En solo un año, esta cifra ha aumentado drásticamente hasta el 74%.
Esta tendencia al alza se atribuye en el estudio, en parte, a la reducción de la fuerza laboral técnica, lo que deja a menos desarrolladores disponibles para abordar estas vulnerabilidades en aumento.
El lado oscuro de las licencias de código abierto
Otro hallazgo preocupante del informe es la lucha de las empresas con el cumplimiento de las licencias de código abierto. Más de la mitad de los proyectos analizados (el 53%) presentan conflictos de licencias, lo que puede llevar a complicaciones legales y a una gestión ineficiente del código.
Sorprendentemente, el 31% de estos proyectos carecen de una licencia conocida o utilizan una licencia personalizada, lo que plantea interrogantes sobre la propiedad intelectual y la responsabilidad legal asociada con el uso de estos componentes.
Conclusión: navegando las aguas turbulentas de la seguridad del software
En última instancia, el informe de Synopsys sirve como una llamada de atención para la comunidad de desarrollo de software. A medida que los ciberdelincuentes continúan evolucionando y adaptándose, es imperativo que también lo hagamos nosotros.
Mantener una higiene de código rigurosa, gestionar las vulnerabilidades de manera proactiva y garantizar el cumplimiento de las licencias son pasos cruciales en la lucha contra el apocalipsis del código zombi.
Por suerte herramientas como Snyk o el propio GitHub, que te avisan proactivamente de las vulnerabilidades en tu código y en las dependencias de éste, te pueden facilitar mucho la tarea. pero queda mucho por hacer.
Solo con una colaboración y vigilancia constantes podemos esperar proteger nuestros sistemas digitales de estos peligros que los acechan.