¿Te piden que instales un certificado? ¡Corre! Los hackers engañan a los profesionales de TI como si fueran niños
Un contacto conocido de la agenda se convirtió de repente en la principal amenaza.
Los ataques contra desarrolladores cada vez se basan menos en vulnerabilidades en el código y más en la confianza dentro de la comunidad profesional. Una nueva campaña maliciosa demostró lo fácil que pueden ser los atacantes al hacerse pasar por un miembro autorizado del proyecto y forzar a la víctima a revelar credenciales.
Un atacante desconocido usó Slack para hacerse pasar por un representante de Linux Foundation y contactar a desarrolladores de software de código abierto. El golpe principal afectó a los participantes de los proyectos TODO y Cloud Native Computing Foundation, que reúnen a especialistas en prácticas de gestión de código abierto y tecnologías en la nube.
El escenario parecía creíble. Haciéndose pasar por un líder comunitario, el atacante enviaba un enlace a una página en Google Sites diseñada como inicio de sesión en Google Workspace. Al hacer clic, el usuario llegaba a un formulario de autenticación falso donde introducía sus credenciales. El siguiente paso parecía aún más convincente: el sistema solicitaba instalar un «certificado raíz de Google».
En realidad, el certificado era malicioso. En dispositivos con macOS ejecutaba un binario desde un servidor remoto, y en Windows iniciaba una instalación a través del cuadro de diálogo de confianza del navegador. Tras la instalación, el atacante podía interceptar tráfico cifrado y robar datos, y la ejecución del archivo podía llevar al control total del sistema.
El director técnico de OpenSSF, Christopher Robinson, indicó que la campaña apunta claramente a equipos concretos y se basa en la reputación de participantes conocidos. Intentos similares se han registrado en otros proyectos de Linux Foundation en los últimos meses, y el ataque actual repite técnicas anteriores, especialmente en lo relativo a los enlaces de phishing.
Google confirmó que investiga el incidente y ya ha eliminado las páginas falsas. Un portavoz de la empresa destacó que no se trata de un fallo de Google Workspace, sino de un abuso de la plataforma. También recordaron que la autenticación legítima de Google nunca exige instalar certificados ni descargar ejecutables para «confirmar» una cuenta.
La situación encaja en una tendencia más amplia. En marzo, los atacantes atacaron a desarrolladores de herramientas populares de código abierto, incluyendo el escáner de vulnerabilidades Trivy y la biblioteca Axios. En un caso se logró introducir código malicioso en la cadena de suministro, y en otro se obtuvo acceso a la cuenta de un mantenedor mediante un entorno de trabajo falso.
Según Robinson, tales ataques se dirigen cada vez más a los procesos de desarrollo y a las relaciones internas entre los miembros de los proyectos. La defensa requiere no solo medidas técnicas, sino también atención a cualquier solicitud inusual, incluso si proviene de un nombre conocido.