Paquetes maliciosos en software de código abierto aumentan 50%

Al cierre de 2024, se detectaron un total de 14 mil paquetes maliciosos en proyectos de código abierto, lo que representa un incremento del 50 % frente al cierre de 2023, revela un informe de Kaspersky.

El software de código abierto es aquel que cualquier persona puede ver, modificar y mejorar. Muchas de las herramientas más utilizadas por los desarrolladores para crear aplicaciones —como GoMod, Maven, NuGet, npm o PyPI— hacen parte de este ecosistema. Estas plataformas les permiten encontrar y usar fragmentos de código ya listos, lo que hace más fácil y rápido el desarrollo de nuevos programas. Sin embargo, su popularidad también ha sido aprovechada por los ciberdelincuentes para esconder amenazas dentro de estos archivos.

En marzo de 2025, el grupo de cibercriminales Lazarus publicó archivos maliciosos en la plataforma npm, muy usada por desarrolladores. Estos archivos fueron descargados varias veces antes de ser eliminados, y contenían programas diseñados para robar contraseñas, datos de billeteras digitales y abrir accesos ocultos en los sistemas. El ataque parecía legítimo porque usaba enlaces de GitHub, una plataforma confiable para compartir código. Según Kaspersky, estos archivos también pudieron haber sido usados en páginas web, aplicaciones financieras y programas empresariales, lo que representa un alto riesgo de robo de información y pérdidas económicas.

En 2024, se descubrió una puerta trasera en las versiones 5.6.0 y 5.6.1 de XZ Utils, una herramienta muy usada en sistemas basados en Linux. El código malicioso fue insertado por un colaborador de confianza y permitía tomar control remoto de servidores mediante SSH. Aunque el ataque fue detectado antes de que pudiera extenderse, gracias a fallos en el rendimiento del sistema, dejó en evidencia los riesgos de manipular herramientas clave en la cadena de suministro de software. XZ Utils es esencial para el funcionamiento de sistemas operativos, servidores en la nube y dispositivos conectados, por lo que esta amenaza representaba un peligro real para infraestructuras críticas y redes empresariales.

Ese mismo año, el equipo de expertos de Kaspersky (GReAT) descubrió que ciberdelincuentes habían subido archivos maliciosos con nombres como chatgpt-python y chatgpt-wrapper a PyPI, una plataforma donde los desarrolladores buscan herramientas para programar. Estos archivos imitaban herramientas legítimas para trabajar con ChatGPT, pero en realidad estaban diseñados para robar contraseñas e instalar accesos ocultos. Aprovechaban el auge del desarrollo en inteligencia artificial para engañar a los usuarios. De haberse integrado en proyectos reales, estos archivos pudieron haber comprometido aplicaciones de IA, chatbots y plataformas de análisis de datos, poniendo en riesgo información sensible y procesos clave.

Fabio Assolini, Director del Equipo de Investigación y Análisis para América Latina en Kaspersky, indica que el software de código abierto es la base de muchas de las tecnologías que usamos todos los días. Pero esa apertura, que lo hace tan útil, también lo vuelve vulnerable.

"El aumento del 50 % en paquetes maliciosos que vimos en 2024 demuestra que los ciberdelincuentes están aprovechando esta confianza para esconder amenazas dentro de herramientas ampliamente utilizadas. Si una sola de estas herramientas está comprometida, el impacto puede extenderse rápidamente a miles de empresas o usuarios. Por eso, es urgente que las organizaciones revisen con cuidado los componentes que usan y fortalezcan sus mecanismos de seguridad antes de que ocurra un incidente de gran escala como el caso de XZ Utils”, expuso Assolini.

Para evitar estas vulnerabilidades, los expertos de Kaspersky recomiendan verificar la reputación de los paquetes utilizados, mantenerse informado sobre amenazas emergentes, monitorear los componentes usados en sus sistemas y ante sospechas de compromiso, realizar una evaluación especializada.