Este artículo apareció originalmente en Security Magazine. Haga clic en el siguiente enlace para ver la versión completa.
El ataque APT de ASUS del mes pasado no es una sorpresa para ningún observador del sector preocupado por la seguridad, ya que pone de manifiesto un antiguo fallo en muchas de las cadenas de suministro actuales de software . Los atacantes llevan años dedicándose a suplantar sitios web, robar credenciales y obtener acceso no autorizado. La inyección de código malicioso en herramientas legítimas diseñadas para proteger representa la siguiente evolución en la puesta en peligro de las empresas y sus clientes. La firma de código se estableció como un sello digital que permite a una organización verificar la identidad del editor de software y garantizar que el código no ha sido manipulado ni modificado antes de su descarga. Sin embargo, si los certificados de firma de código no se gestionan adecuadamente, el resultado es un ataque como el reciente hackeo de ASUS (o potencialmente peor).
En el caso de ASUS, los atacantes explotaron el código, plantando y desplegando malware en una actualización que parecía legítima. Al no haber forma de difundir si los certificados firmados válidos contienen actualizaciones buenas o malas, las empresas que consumían el software y ejecutaban actualizaciones estándar se volvieron entonces vulnerables a los ataques.
