Redazione RHC : 28 junio 2025 20:21
Las principales agencias de ciberseguridad de EE. UU., CISA y NSA, han publicado un documento conjunto que recomienda a los desarrolladores de software optar por lenguajes de programación considerados «seguros para la memoria». Estos lenguajes están diseñados para brindar protección contra fallos críticos causados por errores de gestión de memoria, que constituyen una de las vulnerabilidades más peligrosas y frecuentes.
El documento destaca que los errores de acceso no autorizado a la memoria siguen siendo una gran amenaza tanto para los usuarios habituales como para los sistemas de información críticos. Sin embargo, lenguajes como Rust, Go, C#, Java, Swift, Python y JavaScript mitigan este riesgo mediante comprobaciones estáticas de la asignación de memoria durante la compilación, lo que reduce significativamente la probabilidad de vulnerabilidades.
Los sistemas más utilizados, como C y C++, no incluyen estas funciones de protección por defecto. En teoría, los desarrolladores pueden minimizar los riesgos mediante el análisis estático de código y el estricto cumplimiento de los estándares de programación segura. Sin embargo, en la práctica, no todos los desarrolladores prestan suficiente atención a este aspecto.
Aunque el programa principal cumpla con los estándares actuales, la integración de bibliotecas de C o C++ a través de la Interfaz de Función Externa (FFI) puede suponer un riesgo de seguridad. Este tipo de vulnerabilidad es particularmente alarmante, ya que podría afectar proyectos que inicialmente parecen completamente seguros.
La magnitud del problema ha sido confirmada por las principales empresas de TI. Según Google, en 2018, el 90 % de las fallas de seguridad críticas en Android estaban relacionadas con el uso incorrecto de la memoria. En el navegador Chromium, según datos de 2021, se registraron más del 70 % de estas vulnerabilidades. Esta categoría incluía el infame fallo Heartbleed en la biblioteca criptográfica OpenSSL, que permitía a los atacantes acceder a datos fuera del área asignada.
La relativamente reciente interrupción de Google Cloud, ocurrida en junio de este año, también resultó estar relacionada con un problema clásico: la falta de comprobación de punteros nulos. Esta falla, en la práctica, provoca fallos o crea puntos de entrada para ataques en sistemas donde los controles de almacenamiento no son lo suficientemente rigurosos.
Por lo tanto, ahora los gigantes, con razón, están apoyando cada vez más la implementación de lenguajes seguros. En 2022, Microsoft recomendó oficialmente desarrollar nuevas aplicaciones en Rust o tecnologías similares. En 2023, las agencias gubernamentales también se unieron a estas iniciativas. La directora de CISA, Jen Easterly, declaró públicamente la necesidad de que la industria adopte soluciones más seguras.
Sin embargo, el proceso de adaptación no es fácil. Durante el último año, la comunidad del kernel de Linux ha estado llena de debates sobre la integración de los controladores Rust. Los defensores de C y C++ también han propuesto alternativas: han surgido TrapC, FilC, Mini-C y Safe C, todas ellas destinadas a mejorar la seguridad del código sin abandonar las tecnologías conocidas. Al mismo tiempo, Google está mejorando la protección de la memoria en C sin sacrificar el rendimiento.
Un informe reciente publicado conjuntamente por CISA y NSA destaca que la adopción total de lenguajes de programación seguros es un proceso que requiere una inversión considerable, recursos humanos y tiempo. Las organizaciones con una gran base de código heredado o que operan dentro de una infraestructura crítica pueden encontrar esta transición particularmente desafiante. A pesar de los desafíos, los beneficios asociados con la adopción de estos lenguajes, incluyendo la reducción de posibles vulnerabilidades y la mejora de la confiabilidad general del software, hacen que este cambio no solo sea deseable, sino inevitable.
El gobierno de EE. UU. también está impulsando sus propias iniciativas para acelerar el proceso. El programa DARPA TRACTOR (Traduciendo Todo C a Rust) está diseñado para crear herramientas automatizadas para convertir proyectos de C existentes a Rust, minimizando el trabajo manual. Investigadores de Princeton, UC Berkeley y UC San Diego están desarrollando el proyecto Omniglot, que garantizará que el código Rust pueda interactuar de forma segura con bibliotecas de terceros a través de FFI.
El gobierno, como enfatizan la CISA y la NSA, no depende únicamente de sus propios programas, sino también de la colaboración con empresas privadas. Una de las estrategias contempladas incluye incentivar la creación de empleos que requieran habilidades en el uso de lenguajes de programación seguros, con el objetivo de aumentar el número de especialistas altamente cualificados y acelerar la adopción de nuevos estándares.
El gobierno de EE. UU. también está impulsando sus propias iniciativas para acelerar el proceso. El programa DARPA TRACTOR (Traduciendo Todo C a Rust) está diseñado para crear herramientas automatizadas para convertir proyectos de C existentes a Rust, minimizando el trabajo manual. Investigadores de Princeton, UC Berkeley y UC San Diego están desarrollando el proyecto Omniglot, que garantizará que el código Rust pueda interactuar de forma segura con bibliotecas de terceros a través de FFI.
RedazioneLa Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...
