La Snap Store vuelve a ser cuestionada por razones de seguridad. Un informe reciente advierte de una campaña persistente de publicación de malware que no solo continúa activa, sino que ha dado un paso más preocupante en su evolución, poniendo en cuestión los mecanismos de control y la confianza en la plataforma de aplicaciones de Canonical.

La mala nueva no surge de la nada: la denuncia viene de Alan Pope, antiguo empleado de Canonical y una persona bien conocida en el ámbito del Software Libre, además del desarrollador de SnapScope, una utilidad que, precisamente, escanea paquetes Snap en busca de vulnerabilidades conocidas, de la que nos hicimos eco hace apenas un mes.

Sobra decir que Pope lleva tiempo con el ojo puesto en la Snap Store y no es el único, ya que la tienda lleva tiempo siendo objetivo de actores maliciosos que intentan colar aplicaciones con comportamiento fraudulento o directamente malicioso. Parte de estos intentos son bloqueados por los filtros automáticos de Canonical, pero otros consiguen pasar el corte y llegar a los usuarios finales.

Para entender el alcance del asunto, Pope viene documentando desde principios de 2024 la aparición recurrente de snaps que se hacen pasar por monederos de criptomonedas populares como Exodus, Trust Wallet o Ledger, con el objetivo de que el usuario introduzca su frase de recuperación para vaciar el monedero. En al menos un caso citado, el robo confirmado asciende a 490.000 dólares.

Y no se trata solo de “colarlas”: también de cómo. El autor explica que muchos intentos se topan con filtros automáticos de texto, pero otros los sortean cambiando ligeramente el nombre —por ejemplo, con caracteres Unicode visualmente similares—, o mediante un bait-and-switch: publicar primero un paquete aparentemente inocuo y, una vez ganada visibilidad o confianza, introducir el payload malicioso en una actualización. Canonical anunció una revisión manual para el registro de nuevos nombres de snaps, pero esa medida no frenaría el escenario de los dominios caducados del que trata esta denuncia.

El cambio relevante, advierte, es la táctica que están empleando los atacantes, registrando dominios caducados que pertenecieron a desarrolladores legítimos de aplicaciones en formato Snap. Con el control de esos dominios, pueden recuperar o secuestrar cuentas asociadas a la Snap Store y publicar actualizaciones maliciosas de aplicaciones que hasta ese momento eran plenamente confiables.

Pope resume la situación tal cual:

«Hay una campaña implacable por parte de estafadores para publicar malware en la Snap Store de Canonical. Parte es detectada por los filtros automáticos, pero mucha consigue colarse. Recientemente, estos individuos han cambiado de táctica: ahora están registrando dominios caducados que pertenecían a editores legítimos de snaps, se hacen con el control de sus cuentas y publican actualizaciones maliciosas de aplicaciones que antes eran de confianza. Esto supone una escalada significativa.»

Lo más preocupante es que el informe señala que el problema no es un caso aislado y que la combinación de un modelo de tienda centralizada, procesos de verificación automatizados y una dependencia excesiva de elementos externos como la propiedad de dominios crea un terreno fértil para este tipo de abusos, resume la complejidad del asunto.

A diferencia de otros ecosistemas con diferentes mecanismos de mantenimiento, por ejemplo el de los repositorios tradicionales de una distribución Linux, en la Snap Store el control de un dominio histórico puede convertirse en la puerta de acceso para tomar el control de proyectos abandonados o poco mantenidos, sin que exista una intervención humana que lo detecte a tiempo. Y eso que Canonical anunció un paso en este sentido, pero al parecer es tan limitado que no sirve de mucho.

De hecho, el problema al que apunta el trabajo de Pope es peliagudo, porque el impacto potencial va más allá de los snaps concretos afectados, puesto que una vez son denunciados, se retiran… aunque a veces tardan días en hacerlo. Pero tardan lo mismo en aparecer más, y es que cuando una aplicación conocida y previamente legítima publica una actualización maliciosa, el modelo de confianza implícito del usuario se rompe… y la actualización no avisa de nada.

En otras palabras, no se trata de evitar instalar software desconocido, sino de que incluso el software ya instalado puede convertirse en un vector de ataque. Y si esa aplicación que instalaste hace meses solo para probar y que no has vuelto a probar se actualiza? Ahí podría estar riesgo y es una situación que representa una escalada clara respecto a sucesos anteriores y que, si no se corrige, seguirá siendo explotada de forma sistemática, insiste Pope.

¿Solución? Más control, por supuesto. La Snap Store es una tienda gestionada por Canonical y ese ha sido uno de los puntos más criticados tanto de la plataforma como del formato de paquetes, frente a alternativas como Flatpak y Flathub. Pero se suponía que una de las fortalezas de este sistema era la seguridad, habida cuenta de que todo pasa por los servidores de Canonical. Si no es así ¿qué sentido tiene la dependencia del proveedor?

Cabe recordar que hace años que la Snap Store sufrió su primer incidente de seguridad y la respuesta de Canonical fue lavarse las manos, además, con una máxima de «confía en el autor, no en la aplicación» que ahora se ha visto desmontada por entero. Por supuesto, el usuario tiene responsabilidad en lo que instala en su sistema, pero si un servicio gestionado no es de fiar ¿de quién es la culpa?

La entrada Malware en la Snap Store: una campaña continuada cuestiona la gestión de Canonical es original de MuyLinux