Troyano
Una vulnerabilidad en los compiladores puede servir de exploit para futuros ataques informáticos. | Fuente: Unsplash

Un nuevo estudio determina que prácticamente todo el código informático mundial es vulnerable a un tipo desconocido de exploit, la cual sería capaz de interrumpir toda una cadena de suministro a gran escala.

Investigadores de la Universidad de Cambridge en Inglaterra descubrieron la falla denominada "Trojan Source", esta vulnerabilidad afecta a lo que se conoce como compiladores de codificación: piezas claves de software que ayudan a que el código fuente escrito en lenguaje humano se convierta a lenguaje máquina (binario) para un correcto funcionamiento.

Cuando un software es desarrollado, los programadores escriben en un lenguaje legible por humanos llamado "código de alto nivel", como Java, C++, Python, etc. 

Pero para que la secuencia de código escrito por humano sea ejecutada por una computadora, debe traducirse a un lenguaje legible para las máquinas que consta de bits binarios, sulene llamarse "código de máquina". Aquí es donde los compiladores funcionan como traductores entre humanos y máquinas.

Trojan Source
La falla encontrada por investigadores de la Universidad de Cambridge afecta prácticamente a todos los códigos informáticos del mundo. | Fuente: Unsplash

Vulnerabilidades invisibles

Según el estudio, la mayoría de los compiladores tienen una vulnerabilidad que, cuando se explota adecuadamente, se puede incrustar caracteres de control en comentarios y cadenas para reordenar el código fuente de una manera que cambie su lógica.

Los piratas informáticos podrían aprovechar este engaño para introducir vulnerabilidades en el código que los supervisores humanos no podrían detectar. 

"Si un adversario comete con éxito vulnerabilidades específicas en el código fuente abierto engañando a los revisores humanos, es probable que el software posterior herede la vulnerabilidad", afirma el documento. "Dado que pueden lanzarse fácilmente ataques poderosos a la cadena de suministro utilizando estas técnicas, es esencial que las organizaciones que participan en una cadena de suministro de software implementen defensas".

Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico. Para escucharlo mejor, #QuedateEnCasa.