Misión Linux: por qué el software de código abierto es objeto de lucro para los piratas informáticos
Con el crecimiento de Linux en los entornos de nube, en las infraestructuras críticas e incluso en las plataformas móviles, los piratas informáticos ponen la mira cada vez más en el sistema de código abierto para obtener mayores beneficios.
Con un crecimiento interanual cercano al 20%, se espera que el mercado de sistemas operativos Linux alcance los 22.150 millones de dólares en 2029, frente a los escasos 6.270 millones de 2022, según Fortune Business Insights. Sin embargo, con el crecimiento llegan las oportunidades, y a veces éstas lo son para los actores de amenazas.
Linux ha ganado una popularidad significativa y una adopción más amplia en varios dominios, incluidos servidores, infraestructura en la nube, dispositivos de Internet de las Cosas (IoT) y plataformas móviles. La creciente adopción de DevOps y aplicaciones modernas está convirtiendo a Linux en la plataforma preferida para servidores y, por lo tanto, los desarrolladores lo están desarrollando cada vez más. "Linux alimenta infraestructuras críticas, servidores y entornos en la nube, lo que lo convierte en un objetivo atractivo para los atacantes que pretenden comprometer datos confidenciales, interrumpir servicios o lanzar ataques más amplios", indica Royce Lu, ingeniero de Palo Alto Networks.
En 2022, Palo Alto Networks observó que las muestras de malware de Linux aumentaron un 18,3% en comparación con 2021. Siguiendo con la tendencia de aumento de los ataques, de diciembre de 2022 a mayo de 2023, el número máximo diario de encuentros con archivos ELF maliciosos (dirigidos a sistemas operativos basados en Linux) aumentó casi un 50%, según Stefano Ortolani, jefe de investigación de amenazas de VMware.
Las prácticas de seguridad deficientes hacen vulnerables a los sistemas Linux
Los sistemas Linux mal configurados o con prácticas de seguridad deficientes, como contraseñas por defecto o débiles, software sin parches y configuraciones de red inseguras, pueden hacerlos vulnerables a los ataques. Sin embargo, como cada vez hay más sistemas críticos que funcionan con Linux, esto también permitiría a los atacantes exigir mayores rescates y, por tanto, un ataque de ransomware podría llegar a ser más perjudicial para los clientes.
"Además de los servidores, millones de dispositivos del Internet de las Cosas (IoT) funcionan con Linux, lo que amplía de forma efectiva la superficie de ataque de las organizaciones en todos los sectores verticales, especialmente en las infraestructuras críticas", afirma Dean Houari, director de tecnología y estrategia de seguridad de Akamai.
Grupos de ransomware como Agenda, BlackCat, Hive y RansomExx también han desarrollado versiones de su ransomware en el lenguaje de programación Rust. El uso de Rust permite a los grupos personalizar el malware para Linux. En marzo, la APT Iron Tiger actualizó sus programas maliciosos para atacar la plataforma Linux. En abril, los hackers chinos Alloy Taurus lanzaron una variante para Linux del malware PingPull. En mayo, una nueva variante del ransomware IceFire comenzó a atacar sistemas empresariales Linux.
Otra razón que podría atribuirse al aumento de los ataques son las vulnerabilidades de las aplicaciones que se ejecutan en Linux. "Vimos el ataque a Log4j debido a una vulnerabilidad en el servidor Apache. Apache también se ejecuta en Linux y, por tanto, este tipo de vulnerabilidades también pueden significar un aumento de los ataques", afirma Sharda Tickoo, director técnico para India y SAARC de Trend Micro.
Aunque el ransomware dirigido a sistemas basados en Linux ha ido en aumento, una gran parte de los encuentros siguen siendo variantes de Mirai reutilizadas para minar Bitcoins o Monero, dijo Ortolani. "Mientras las criptomonedas sean fácilmente fungibles, podemos esperar que cada vez más ciberdelincuentes se aprovechen de sistemas insuficientemente protegidos", señala Ortolani.
Se necesitan parches oportunos para las vulnerabilidades
Aunque los sistemas Linux se consideraban generalmente seguros, los analistas afirman que la necesidad del momento es centrarse en los parches de vulnerabilidad oportunos.
"La estrategia utilizada para infectar los sistemas Linux es diferente a la de Windows, ya que Linux es más susceptible a las vulnerabilidades", afirma Houari. "El elevado número de vulnerabilidades de Linux y la dependencia del código fuente abierto suponen un reto para los equipos de seguridad a la hora de garantizar que se parchean a tiempo, lo que podría permitir a los atacantes acceder a estos sistemas saltándose eficazmente la seguridad perimetral y obteniendo acceso privilegiado para posteriores reconocimientos y ataques".
Según Ortolani, las organizaciones deben adoptar una estrategia de confianza cero para integrar la seguridad en la infraestructura, de modo que sea posible abordar sistemáticamente los vectores de amenaza en todos los niveles, reduciendo así la superficie de ataque global. Deben disponer de autenticación y controles de acceso sólidos, supervisar y registrar las actividades, utilizar técnicas de refuerzo de la seguridad y educar a los usuarios sobre las mejores prácticas para utilizar los sistemas Linux de forma segura.
