El banco más grande de Rusia ha advertido a sus usuarios que dejen de actualizar el software debido a la amenaza del "protestware": programas de software abierto cuyos autores han alterado su código en oposición a la invasión rusa de Ucrania.

Cuando se ejecuta el protestware muestra mensajes contra la guerra a favor de los ucranianos. Al menos había un proyecto de código malicioso con el objetivo de atacar ordenadores ubicados en Rusia y Bielorrusia, provocando indignación y algunos daños colaterales no previstos.

En respuesta a la amenaza, Sberbank, el banco estatal ruso y el más grande del país, ha aconsejado a los rusos que temporalmente no actualicen ningún software debido al riesgo y que verifiquen manualmente el código fuente del software si es necesario (un nivel de control que no es realista para la mayoría de los usuarios).

"Instamos a los usuarios que dejen de actualizar el software por ahora y a los desarrolladores que refuercen el control sobre el uso de código fuente externo", resaltó Sberbank en un comunicado publicado por los medios rusos y las empresas de ciberseguridad.

Con la invasión rusa de Ucrania, algunos sugirieron que las tecnológicas deberían dejar de enviar actualizaciones a los usuarios rusos para imponer mayores costes a Moscú. Ninguna empresa de tecnología ha llegado tan lejos, pero según observadores que siguen el movimiento de protestware, se han detectado alrededor 24 programas de software de código abierto que agregaban código en protesta por la guerra. El software de código abierto es un software que cualquiera puede modificar e inspeccionar, volviéndolo más transparente y, al menos en este caso, más abierto al sabotaje.

¿Daños colaterales?

El ejemplo más grave de protestware hasta el momento ocurrió con el popular programa de código abierto node.ipc, que ayuda a construir redes neuronales y que se descarga más de un millón de veces por semana.

El desarrollador de node-ipc, RIAEvangelist, había escrito el código en protesta por la guerra PeaceNotWar. El código añadía un "mensaje de paz" en las pantallas de los usuarios, explicaron en GitHub.

"Este código sirve como un ejemplo no destructivo de por qué resulta importante controlar los módulos de nodo", escribió el autor. "También es una protesta no violenta contra la agresión de Rusia que actualmente amenaza al mundo… Para ser claros, esto es protestware".

Pero a node.ipc también se le agregó un código que geolocalizaba a los usuarios y, si se encontraban dentro de Rusia o Bielorrusia, borraba sus archivos.

El código malicioso es del 15 de marzo, según el investigador de la empresa de ciberseguridad Snyk Liran Tal. El nuevo código estaba oculto en datos codificados de base64 lo que dificultan su detección.

Poco después de la descarga del código, una publicación de GitHub se volvió viral afirmando que el código afectó a los servidores operados por una organización no gubernamental estadounidense en Bielorrusia y que el sabotaje fue el "resultado de ejecutar su código que borró más de 30.000 mensajes y archivos que detallaban los crímenes de guerra cometidos en Ucrania por el ejército y el gobierno rusos".

El código permaneció como parte del paquete menos de un día, señala Snyk. El supuesto mensaje de la ONG estadounidense no ha sido verificado y ninguna organización ha hecho declaración pública sobre los daños.

"Aunque se trata de un ataque motivado por las protestas, muestra un problema mayor al que se enfrenta la cadena de suministro de software: las dependencias transitivas en el código pueden tener un gran impacto en la seguridad", escribió Tal.

No es la primera vez que los desarrolladores de código abierto sabotean sus propios programas. En enero, el autor de otro proyecto popular llamado colors agregó un bucle infinito a su código que volvía inútil cualquier servidor que lo ejecutara hasta que el problema fue solucionado.

El nuevo movimiento

Protestware es solo el último de varios intentos de activistas por usar tecnología que supera la censura rusa y enviar mensajes contra la guerra. Los activistas han estado utilizando publicidad dirigida para llevar noticias sobre la guerra en Ucrania a los rusos que, de lo contrario, están a merced de la creciente censura y la omnipresente propaganda estatal. Los resúmenes colaborativos y los mensajes emergentes contra la guerra son tácticas que se han empleado desde que las tropas rusas comenzaron su invasión.

En general, protestware es una prueba más de que mucho de lo que podemos ver públicamente de la ciberguerra que se desarrolla en Ucrania está directamente relacionado, ante todo, con la guerra de la información y de la propaganda.

Protestware puede seguir enviando mensajes similares contra la guerra, pero dentro de la comunidad de código abierto existe la preocupación ante la posibilidad de sabotaje. Especialmente si va más allá de simples mensajes contra la invasión y empieza a destruir datos, ya que podría socavar el ecosistema de código abierto. Aunque es menos conocido que el software comercial, el software de código abierto es enormemente importante para ejecutar todos los aspectos de internet.

"La caja de Pandora ya está abierta y, a partir de este momento, TODOS los que utilizan código abierto experimentarán más xenofobia que nunca", escribió el usuario de GitHub NM17. "El factor de confianza en el código abierto, basado en la buena voluntad de los desarrolladores, prácticamente ha desaparecido, y ahora, cada vez más personas se dan cuenta de que algún día, su biblioteca/aplicación podría acabar explotada para hacer/decir lo que sea que algún desarrollador aleatorio pensaba que era 'lo correcto'. No salió nada bueno de esta 'protesta'".