Mythos en ataques modernos a la cadena de suministro
Las últimas informaciones sobre Mythos están destacando su capacidad para interactuar con código fuente en entornos open source, un enfoque con implicaciones directas para la seguridad del software.
Este escenario, cada vez más cercano a los ataques a la cadena de suministro, permite a los actores maliciosos identificar o incluso introducir vulnerabilidades en software de confianza antes de su distribución, sin ser detectados por los controles tradicionales.
En este contexto, Martin Zugec, director de Soluciones Técnicas en Bitdefender, analiza por qué este cambio obliga a replantear los enfoques actuales de seguridad (incluido Zero Trust) y a poner el foco en el comportamiento del código en ejecución.
El directivo sostiene que el debate en torno a Mythos ha pasado por alto un detalle crítico con importantes implicaciones para los ataques modernos a la cadena de suministro. Mythos operaba con acceso completo al código fuente en entornos open source, en lugar de analizar sistemas cerrados desde el exterior como en los ataques tradicionales.
Esta diferencia es clave. Se asemeja estrechamente a los escenarios de ataques a la cadena de suministro, en los que los actores de amenazas tienen el mismo nivel de visibilidad sobre el código antes de su distribución, lo que les permite identificar sistemáticamente o incluso introducir vulnerabilidades en software de confianza antes de su despliegue.
Zugec señala que la industria ha centrado gran parte de sus esfuerzos en controles de identidad y red, pero sigue pasando por alto una capa que los atacantes explotan cada vez más: la ejecución del código. La confianza sigue basándose en firmas, reputación y origen, señales que fallan por completo en un compromiso de la cadena de suministro.
Una vez que el código está firmado y distribuido, los controles tradicionales no tienen nada que evaluar: no hay firma sospechosa, ni CVE, ni indicadores previos. En ese punto, el único control realmente fiable es la capacidad de detectar y limitar el comportamiento en tiempo de ejecución.
El modelo Zero Trust debe extenderse a la ejecución, validando lo que hace el código, no lo que es o de dónde proviene. Si no se verifica continuamente su comportamiento, en la práctica se está confiando en el atacante, aunque no se sea consciente de ello.
Martin Zugec de Bitdefender
