En los últimos días se ha conocido un caso preocupante relacionado con la Snap Store, el repositorio oficial de aplicaciones en formato Snap utilizado en muchas distribuciones GNU/Linux. El problema no tiene que ver con fallos técnicos del sistema de empaquetado en sí, sino con un abuso del modelo de confianza sobre el que se basa la tienda.

Lo ocurrido consiste en que terceros malintencionados han logrado publicar versiones con código malicioso de aplicaciones que previamente eran legítimas. Para ello no han creado cuentas nuevas ni paquetes sospechosos desde cero, sino que han tomado el control de cuentas de desarrolladores reales que llevaban tiempo inactivas. De este modo, las aplicaciones afectadas parecían fiables, ya que tenían historial, descargas previas y no levantaban alertas inmediatas.

No es la primera vez que la Snap Store se ve comprometida

La clave del ataque está en los dominios asociados a esas cuentas de desarrollador. En muchos casos, los proyectos originales ya no se mantenían y los dominios web vinculados a ellos habían caducado. Los atacantes registraron de nuevo esos dominios y, al controlar las direcciones de correo asociadas, pudieron recuperar el acceso a las cuentas de publicación en la Snap Store. Una vez dentro, bastó con subir una actualización modificada del software.

El código malicioso detectado se centraba principalmente en aplicaciones relacionadas con criptomonedas. Estas versiones alteradas imitaban el comportamiento de carteras legítimas y solicitaban al usuario datos sensibles como la frase de recuperación. Esa información se enviaba a servidores controlados por los atacantes, lo que les permitía robar fondos sin necesidad de explotar vulnerabilidades del sistema operativo.

Este tipo de ataque es especialmente peligroso porque no depende de engañar al usuario con nombres falsos o aplicaciones claramente sospechosas. Se apoya en la confianza acumulada de proyectos antiguos y en la falta de mecanismos estrictos para verificar que el propietario de una cuenta de desarrollador sigue siendo quien dice ser con el paso del tiempo.

Las aplicaciones afectadas ya han sido retiradas

Tras detectarse el problema, las aplicaciones afectadas fueron retiradas. Aun así, el incidente ha reavivado el debate sobre la seguridad de las tiendas centralizadas de software y sobre hasta qué punto los sistemas automáticos de revisión son suficientes. También pone de manifiesto la importancia de proteger las cuentas de desarrollador, especialmente aquellas asociadas a proyectos abandonados o sin mantenimiento activo.

Para los usuarios, la principal lección es que ninguna tienda de aplicaciones es infalible. Incluso en entornos como Linux, tradicionalmente percibidos como más seguros, pueden producirse abusos cuando el modelo de distribución se basa en la confianza y la automatización. Extremar la precaución con aplicaciones sensibles, especialmente las relacionadas con criptomonedas o credenciales, sigue siendo una medida fundamental.