Lo que está pasando en la Snap Store no es una anécdota ni un ataque más de los de siempre. Es algo bastante más serio, porque apunta directamente al corazón de la confianza que muchos usuarios y desarrolladores dan por sentada. En los últimos días, Alan Pope, exresponsable de Ingeniería y Comunidad en Canonical, ha destapado una técnica de ataque nueva, silenciosa y, sobre todo, muy efectiva. No se trata de colar apps falsas desde cero. Se trata de secuestrar identidades legítimas.
La clave del problema está en algo tan mundano como un dominio web caducado. Los atacantes han aprendido que no necesitan engañar al usuario directamente si pueden hacerse pasar por alguien que ya es de confianza dentro del sistema.
Hasta ahora, el malware en Linux solía entrar por caminos bastante conocidos. Typosquatting, nombres de paquetes casi idénticos a los de aplicaciones populares, proyectos nuevos con pinta inofensiva esperando que alguien los instalara sin mirar demasiado. Canonical y otros distribuidores reaccionaron endureciendo las normas, revisando nombres y poniendo filtros manuales. Eso cerró muchas puertas. Pero dejó otra abierta, mucho más discreta.
Aquí es donde el ataque da un salto de nivel. En lugar de crear cuentas nuevas, los atacantes buscan aplicaciones abandonadas o desarrolladores que, con el tiempo, dejaron expirar el dominio asociado a su correo electrónico. Algo tan común como admin@proyectoolvidado.com. Cuando el dominio caduca, lo compran. Reactivan ese correo. Y desde ahí solicitan un simple restablecimiento de contraseña en la Snap Store. Nada sofisticado. Nada que dispare alarmas.
El resultado es demoledor. Acceden a una cuenta antigua, con historial, con reputación. Una cuenta que el sistema considera fiable. Sin etiquetas de advertencia. Sin restricciones. Desde fuera, todo parece normal.
Una vez dentro, el siguiente paso es casi automático: publicar actualizaciones maliciosas de aplicaciones que ya estaban aprobadas y distribuyéndose. Y aquí está el verdadero peligro. Porque esas actualizaciones llegan a los usuarios como siempre. Sin sospechas. Sin señales claras de que algo va mal.
El objetivo principal de estas campañas es el dinero, concretamente las criptomonedas. Pope ha documentado casos en los que apps secuestradas se hacen pasar por billeteras conocidas como Exodus o Ledger Live. Piden la frase de recuperación. El usuario confía. La introduce. Y en cuestión de minutos, la cartera queda vacía. Así de rápido. Así de limpio.
Durante el análisis, Pope utilizó SnapScope, una herramienta creada originalmente para auditar la seguridad de paquetes Snap. Lo que encontró fue todavía más inquietante. Muchas de estas aplicaciones maliciosas enviaban los datos robados a través de bots de Telegram. Al inspeccionar el tráfico de red, aparecieron identificadores de chats y usuarios concretos. No es un ataque aislado. Es una operación organizada, con infraestructura y método, que apunta a grupos bien estructurados, posiblemente activos desde Europa del Este.
Este tipo de ataque no compromete directamente los servidores de Canonical. Y eso es lo más incómodo. Es un ataque a la cadena de suministro de identidad. Al sistema que da por hecho que si controlas un correo electrónico, eres quien dices ser. Pope incluso ha identificado dominios concretos comprados con un único propósito: recuperar cuentas de desarrolladores y reutilizarlas como vector de ataque.
Y no, este problema no es exclusivo de la Snap Store. El año pasado, el repositorio de Python, PyPI, sufrió una situación casi idéntica. La respuesta fue drástica: bloquear de forma preventiva más de 1.800 direcciones de correo asociadas a dominios caducados. La comunidad de seguridad lleva tiempo insistiendo en que Canonical debería aplicar medidas similares, como verificar periódicamente la validez de los dominios o, directamente, imponer la autenticación de dos factores de forma obligatoria para todos los editores. Con 2FA, el simple control del correo dejaría de ser suficiente para secuestrar una cuenta.
Para los desarrolladores, el mensaje es claro y poco agradable: mantener vivo el dominio asociado a tu cuenta ya no es opcional. Activar 2FA tampoco debería serlo. Y para los usuarios finales, la recomendación duele aún más, porque rompe una comodidad muy asumida. La tienda de aplicaciones ya no puede considerarse un entorno de confianza ciega, especialmente cuando se trata de software financiero o de criptomonedas. Que una app lleve años publicada no garantiza nada.
Hasta que se implementen controles más estrictos, lo más sensato es descargar este tipo de aplicaciones críticas directamente desde las páginas oficiales de sus desarrolladores. Es menos cómodo, sí. Pero ahora mismo, es la diferencia entre mantener tus datos —y tu dinero— a salvo o entregarlos sin darte cuenta.
Fuente: Ubuntulog
Añadir comentario
Comentarios