Ciberseguridad: CISA y NSA recomiendan lenguajes de programación seguros

Redazione RHC : 28 junio 2025 20:21

Las principales agencias de ciberseguridad de EE. UU., CISA y NSA, han publicado un documento conjunto que recomienda a los desarrolladores de software optar por lenguajes de programación considerados «seguros para la memoria». Estos lenguajes están diseñados para brindar protección contra fallos críticos causados por errores de gestión de memoria, que constituyen una de las vulnerabilidades más peligrosas y frecuentes.

El documento destaca que los errores de acceso no autorizado a la memoria siguen siendo una gran amenaza tanto para los usuarios habituales como para los sistemas de información críticos. Sin embargo, lenguajes como Rust, Go, C#, Java, Swift, Python y JavaScript mitigan este riesgo mediante comprobaciones estáticas de la asignación de memoria durante la compilación, lo que reduce significativamente la probabilidad de vulnerabilidades.

Los sistemas más utilizados, como C y C++, no incluyen estas funciones de protección por defecto. En teoría, los desarrolladores pueden minimizar los riesgos mediante el análisis estático de código y el estricto cumplimiento de los estándares de programación segura. Sin embargo, en la práctica, no todos los desarrolladores prestan suficiente atención a este aspecto.

Aunque el programa principal cumpla con los estándares actuales, la integración de bibliotecas de C o C++ a través de la Interfaz de Función Externa (FFI) puede suponer un riesgo de seguridad. Este tipo de vulnerabilidad es particularmente alarmante, ya que podría afectar proyectos que inicialmente parecen completamente seguros.

La magnitud del problema ha sido confirmada por las principales empresas de TI. Según Google, en 2018, el 90 % de las fallas de seguridad críticas en Android estaban relacionadas con el uso incorrecto de la memoria. En el navegador Chromium, según datos de 2021, se registraron más del 70 % de estas vulnerabilidades. Esta categoría incluía el infame fallo Heartbleed en la biblioteca criptográfica OpenSSL, que permitía a los atacantes acceder a datos fuera del área asignada.

La relativamente reciente interrupción de Google Cloud, ocurrida en junio de este año, también resultó estar relacionada con un problema clásico: la falta de comprobación de punteros nulos. Esta falla, en la práctica, provoca fallos o crea puntos de entrada para ataques en sistemas donde los controles de almacenamiento no son lo suficientemente rigurosos.

Por lo tanto, ahora los gigantes, con razón, están apoyando cada vez más la implementación de lenguajes seguros. En 2022, Microsoft recomendó oficialmente desarrollar nuevas aplicaciones en Rust o tecnologías similares. En 2023, las agencias gubernamentales también se unieron a estas iniciativas. La directora de CISA, Jen Easterly, declaró públicamente la necesidad de que la industria adopte soluciones más seguras.

Sin embargo, el proceso de adaptación no es fácil. Durante el último año, la comunidad del kernel de Linux ha estado llena de debates sobre la integración de los controladores Rust. Los defensores de C y C++ también han propuesto alternativas: han surgido TrapC, FilC, Mini-C y Safe C, todas ellas destinadas a mejorar la seguridad del código sin abandonar las tecnologías conocidas. Al mismo tiempo, Google está mejorando la protección de la memoria en C sin sacrificar el rendimiento.

Un informe reciente publicado conjuntamente por CISA y NSA destaca que la adopción total de lenguajes de programación seguros es un proceso que requiere una inversión considerable, recursos humanos y tiempo. Las organizaciones con una gran base de código heredado o que operan dentro de una infraestructura crítica pueden encontrar esta transición particularmente desafiante. A pesar de los desafíos, los beneficios asociados con la adopción de estos lenguajes, incluyendo la reducción de posibles vulnerabilidades y la mejora de la confiabilidad general del software, hacen que este cambio no solo sea deseable, sino inevitable.

El gobierno de EE. UU. también está impulsando sus propias iniciativas para acelerar el proceso. El programa DARPA TRACTOR (Traduciendo Todo C a Rust) está diseñado para crear herramientas automatizadas para convertir proyectos de C existentes a Rust, minimizando el trabajo manual. Investigadores de Princeton, UC Berkeley y UC San Diego están desarrollando el proyecto Omniglot, que garantizará que el código Rust pueda interactuar de forma segura con bibliotecas de terceros a través de FFI.

El gobierno, como enfatizan la CISA y la NSA, no depende únicamente de sus propios programas, sino también de la colaboración con empresas privadas. Una de las estrategias contempladas incluye incentivar la creación de empleos que requieran habilidades en el uso de lenguajes de programación seguros, con el objetivo de aumentar el número de especialistas altamente cualificados y acelerar la adopción de nuevos estándares.

El gobierno de EE. UU. también está impulsando sus propias iniciativas para acelerar el proceso. El programa DARPA TRACTOR (Traduciendo Todo C a Rust) está diseñado para crear herramientas automatizadas para convertir proyectos de C existentes a Rust, minimizando el trabajo manual. Investigadores de Princeton, UC Berkeley y UC San Diego están desarrollando el proyecto Omniglot, que garantizará que el código Rust pueda interactuar de forma segura con bibliotecas de terceros a través de FFI.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli