Table of Contents
Este fallo, fue detectado por un grupo de investigadores de la Universidad de Cambridge que lo bautizó Trojan Source.
Ahora bien, el troyano afecta los compiladores de código, estos, son programas que ayudan a que el código fuente desarrollado por humanos sea comprendido por las máquinas.
Una nueva técnica con Trojan Source
Según los investigadores, casi todos los compiladores de software -desde C++, hasta Python y Java- tienen un error que, cuando se explota permite secuestrarlos con fines maliciosos y de manera totalmente invisible.
Y para lograrlo, los atacantes utilizan caracteres de control bidireccionales (también conocidos como caracteres BiDi) que son inyectados de forma maliciosa dentro de los comentarios del código fuente sin que los desarrolladores se percaten.
Además, los investigadores descubrieron que la mayoría de los compiladores y editores de código no tienen protocolos para manejar caracteres BiDi o señalar su presencia dentro de los comentarios del código fuente.
Recordemos que Unicode, un estándar para formar caracteres y extender el repertorio de compatibilidad con los símbolos existentes, define más de 143.000 caracteres en 154 idiomas diferentes.
Incluyendo otros caracteres que no se basan en escritura como los emojis.
Un ataque basado en Trojan Source puede poner en peligro todo el código fuente.
Esto representa una amenaza inmediata tanto para el software original como para el compromiso de la cadena de suministro en todas las industrias, aseguró Nicholas Boucher, de la Universidad de Cambridge.
¿Cómo solucionar esta vulnerabilidad?
Las organizaciones deben tomar medidas inmediatas para reducir el riesgo y establecer defensas sólidas para proteger sus activos digitales, infraestructuras y datos críticos del negocio, incluyendo las aplicaciones y el software.
Esta recomendación inicial es clave para mitigar la falla, estar pendientes de las actualizaciones de seguridad de los compiladores oficiales e instalar los parches correspondientes.
También conviene visitar continuamente el sitio web Trojansource.codes de la Universidad de Cambridge para conocer más detalles sobre actualizaciones, técnicas y variantes descubiertas.
Finalmente, se recomienda establecer políticas de seguridad, planes de contingencia, jornadas de sensibilización de usuarios y realizar valoraciones sobre potenciales amenazas.
Te puede interesar: Consejos para protegerse ante un eventual ciberataque
Fuente: ETEK