Burricornio Dev

Seguridad en la cadena de suministro del software

Hubo un tiempo, allá por la prehistoria digital (¿2015?), en el que confiábamos en el software. Lo descargábamos, lo instalábamos y, con una inocencia que hoy nos da ternura, asumíamos que hacía lo que decía en sus descripciones. ¡Qué época tan adorable y crédula! Hoy, esa confianza se ha esfumado más rápido que la batería de tu móvil en un concierto.

Bienvenidos a la cruda realidad, amigos: el software no solo mueve el mundo, es el mundo. ¿Y la idea de un software que funcione solito, sin dependencias? Pura fantasía. El software moderno es un guiso complejo de librerías, frameworks y código de terceros. Y esa misma telaraña de código… es, seamos sinceros, la posible receta perfecta para el desastre.

Fragmento de código

  graph TD
    A[Componente Open-Source que un becario instaló en 2012] --> B[Biblioteca Principal que nadie se atreve a tocar]
    B --> C[Tu Aplicación Estrella que genera Millones]
    C --> D[Toda la Infraestructura de tu Empresa]
    style A fill:#ff9999,stroke:#333,stroke-width:2px

La Gran Mentira Digital: ¿De Verdad Sabes lo que Ejecutas?

Las organizaciones modernas, sí, la tuya también, no lo niegues, son un ovillo de dependencias de software tan enrevesado que ni el mejor gato podría desenredarlo. Es un dominó digital esperando el estornudo equivocado. Una pequeña vulnerabilidad en un componente open-source olvidado, probablemente añadido por alguien que ya ni trabaja en la empresa, puede derribar todo el chiringuito. Es mas ni siquiera a veces podemos controlar las duplicidad de la mismas librerías con diferentes versiones en las dependencias transitivas, esto nos ofrece una ruleta rusa en runtime: a veces arranca sin problemas, otras veces explota porque el class loader de Java cargó la version de la librería equivocada en el momento equivocado. ¡Bienvenido a la jar-magedón!

Los ataques a la cadena de suministro de software no son una moda pasajera; son el nuevo deporte olímpico de los ciberdelincuentes. ¿Las estadísticas? Más del 75% de las empresas se comieron una brecha de estas en 2024.

Lo más retorcido es que los atacantes ya no necesitan tocar tu precioso código fuente. Ahora son más sutiles. Es como si un duende malvado entrara en la panadería y, justo antes de hornear tu pan, cambiara la levadura por pólvora. El panadero jura que siguió la receta, pero tu bocadillo acaba de redecorar la cocina. Eso, queridos lectores, es un ataque a la cadena de suministro en su máxima y explosiva expresión.

Estas “sorpresas” no solo te cuestan un dineral, sino que pulverizan tu reputación. Y mientras intentas apagar los fuegos, los reguladores te llaman para ver si cumples las normativas. No es de extrañar que este mercado de la seguridad mueva cientos de millones. Con la IA, el IoT y el blockchain, la tecnología avanza, pero los riesgos… ¡ay, los riesgos también se han sacado un máster!

El Santo Grial (que Nadie Sabía que Necesitaba): El SBOM

¿Te han puesto delante alguna vez un cocido madrileño tan improvisado que sospechas que el chef vació la nevera entera en la olla? Con el software pasa algo peor: nunca sabes qué ingredientes se usaron. Para evitar que nos traguemos tornillos junto con el chorizo, llega nuestro maestro de ceremonias gastronómico: el Software Bill of Materials (SBOM), la lista de ingredientes que desvela qué hay en el guiso.

Imagina entonces que SBOM es la lista de ingredientes de tu software, pero una que puedes leer sin un doctorado en química. Un inventario detallado de cada componente, cada dependencia (incluso las dependencias de las dependencias, un maravilloso viaje al abismo) y cómo se relacionan entre sí. Su popularidad no es casual, viene impulsada por directivas gubernamentales como la Orden Ejecutiva 14028 de EE.UU., que básicamente dijo: “O empiezan a decir qué demonios lleva su software, o habrá problemas”.

¿Por qué tanto alboroto con los SBOMs?

• Visibilidad y Transparencia: Para que por fin sepas qué hay en tu código. ¡Igual te llevas una sorpresa!

• Gestión de Vulnerabilidades: Cuando sale un escándalo como el de Log4j, en lugar de correr en círculos gritando, puedes consultar tu SBOM y ver si tienes “el ingrediente maldito”. Es una alerta sanitaria para tu código.

• Gestión de Licencias: Para no acabar demandado por usar una librería con una licencia más restrictiva.

• Gestión de Riesgos: Para evaluar si ese componente que te bajaste de un foro random es una genialidad o una bomba de relojería.

• Mantenimiento y Auditoría: Para que parchear, actualizar y pasar auditorías sea menos doloroso que pisar una pieza de Lego descalzo. (Mis hijas no recogen) ![[Captura/assets/Pasted image 20250705211042.png]]

Y como en el mundo de la tecnología no podemos tener una sola cosa, hay dos formatos principales para que te rompas la cabeza eligiendo:

• SPDX (Software Package Data Exchange): El veterano, el abuelo de los formatos. Creado por la Linux Foundation, es un estándar ISO y le encantan los detalles sobre licencias y propiedad intelectual. Si tu mayor miedo es un abogado, este es tu amigo.

• CycloneDX: El chico nuevo y molón de OWASP. Nació pensando en la seguridad y la automatización. Es más ligero y directo al grano. Si tu pasión es cazar vulnerabilidades, CycloneDX es tu alma gemela.

La elección depende de si te preocupa más la cárcel o que te hackeen. ¡Elige sabiamente!

Tus Herramientas Aliadas

Por suerte, no estás solo en esta batalla. El glorioso ecosistema de código abierto nos ha dado un arsenal para defendernos.

Fragmento de código

  flowchart LR
    A[Tu Artefacto Misterioso] --> B{Syft, el Chef}
    B --> C[📜 SBOM Detallado]
    C --> D{Grype, el Inspector de Sanidad}
    D --> E[🚨 Reporte de Vulnerabilidades]
    style B fill:#99ccff,stroke:#333
    style D fill:#ffcc99,stroke:#333

1. Syft + Grype: El Dúo Dinámico

   • Syft: Es el chef meticuloso. No cocina, pero te da una lista perfecta de todos los ingredientes (genera el SBOM) de cualquier cosa que le tires: contenedores, sistemas de archivos, lo que sea.

   • Grype: Es el inspector de sanidad con rayos X en los ojos. Coge la lista de Syft y te dice qué ingredientes están caducados, son venenosos o, en general, una mala idea (escanea vulnerabilidades).

   • La Sinergia: La magia está en usarlos juntos. Syft crea el inventario una vez. Grype lo revisa cada día con la nueva información sobre amenazas, sin tener que volver a desarmar el producto entero. ¡Eficiencia pura!

2. Trivy: La Navaja Suiza de la Seguridad

   Este es el MacGyver de los escáneres. Trivy lo hace todo: busca CVEs en tu sistema operativo, en tus librerías, encuentra secretos olvidados en el código, revisa si tu Infraestructura como Código (IaC) es un desastre y, por si fuera poco, también genera y escanea SBOMs. Rápido, fácil de usar y se integra en tu CI/CD como si hubiera nacido allí.

3. Sigstore / Cosign: Magia sin Llaves

   ¿Cansado de proteger claves criptográficas como si fueran el Anillo Único? Sigstore es la solución. A través de su herramienta Cosign, te permite firmar digitalmente tu software… ¡sin claves de larga duración que proteger con tu vida! Usa tu login de Google o GitHub (OIDC), genera claves de un solo uso y lo registra todo en un libro de contabilidad público e inmutable llamado Rekor. Por fin, una seguridad que no te hace querer arrancarte el pelo.

Sube de Nivel: La Escalera de la Confianza (o SLSA, que suena a Salsa)

El framework SLSA (Supply-chain Levels for Software Artifacts), pronunciado “salsa” (¡porque la seguridad necesita más sabor!), es como los cinturones de karate para tu software. Te ayuda a medir y mejorar la madurez de tu seguridad.

Fragmento de código

  graph LR
    L0["Sin Garantías"] --> L1[L1: Procedencia]
    L1 --> L2[L2: Build Firmado]
    L2 --> L3[L3: Build Endurecido]
    style L0 fill:#ff9999,stroke:#333
    style L1 fill:#ffcc99,stroke:#333
    style L2 fill:#ffff99,stroke:#333
    style L3 fill:#99ff99,stroke:#333

• Nivel 1: Tu proceso de build está automatizado y generas una “procedencia” (un papel que dice cómo se hizo). Bien, pero ese papel podría ser falso.

• Nivel 2: Usas una plataforma de CI/CD que firma digitalmente esa procedencia. Ahora el sello es de verdad. ¡Cinturón amarillo!

• Nivel 3: El nivel ninja. El build se ejecuta en una burbuja aislada y efímera, y la plataforma está más fortificada que un búnker. Protege contra manipulaciones durante el build. ¡Cinturón negro!

“Shift Left”: La Idea Radical de Arreglar las Cosas Antes de que Exploten

“Shift Left” es el mantra de DevSecOps, que básicamente significa: “Integra la seguridad desde el principio, idiota”. Porque arreglar un fallo de seguridad en producción es como intentar meter la pasta de dientes de nuevo en el tubo: frustrante, sucio y casi imposible.

La clave es automatizar la seguridad en tu pipeline de CI/CD:

Fragmento de código

  flowchart TB
    subgraph "Pipeline de CI/CD"
        direction LR
        A[Código] -->|SAST/Secretos| B[Build]
        B -->|SCA/SBOM| C[Pruebas]
        C -->|DAST/IAST| D[Empaquetado]
        D -->|¡Firma con Cosign!| E[Despliegue]
        E -->|¡Verifica la firma!| F[Producción]
    end
    style A fill:#99ccff,stroke:#333
    style D fill:#ffcc99,stroke:#333

Esto crea una cadena de custodia digital, un rastro de migas de pan criptográficas que te permite dormir un poco mejor por la noche.

Un Caso de Estudio de la Vida Real (y muy Oscuro)

Si crees que esto del supply chain es solo para nerds de software, déjame contarte una historia. El 17 de septiembre de 2024, miles de beepers explotaron simultáneamente en Líbano. Hezbolá los usaba porque creían que los móviles eran “demasiado vulnerables”. La ironía es cósmica: los explosivos habían sido implantados en los beepers antes de que los recibieran.

Un grupo paranoico con la seguridad de sus comunicaciones fue víctima de un ataque a su cadena de suministro… física. Si le puede pasar a ellos con un beeper, imagínate lo que le puede pasar a tu aplicación web.

Conclusión: Bienvenidos a la Fiesta Interminable

La seguridad de la cadena de suministro de software no es un proyecto con fecha de fin. Es una fiesta de disfraces donde no sabes quién es quién, la música nunca para y siempre hay una nueva vulnerabilidad esperando en la barra de bebidas.

No puedes confiar ciegamente en nada ni en nadie. Audita tu infraestructura, mantén un inventario (¡usa SBOMs!), desconfía de todos (confianza cero), usa las herramientas que hemos mencionado y, por el amor de Dios, ten un plan de respuesta a incidentes.

En este nuevo mundo, nuestro trabajo es construir confianza digital, pieza por pieza, sabiendo que la torre de Jenga siempre estará temblando. Así que, pónganse cómodos, sírvanse un café bien cargado y únanse al baile. ¡La seguridad es una maratón, no un sprint, y todos estamos en ella!