Me estoy cansando...

EspañolالعربيةDeutschEnglishFrançaisहिन्दीBahasa Indonesia한국어PortuguêsРусский中文
MMaximilian Schwarzmüller
컴퓨터/소프트웨어경영/리더십AI/미래기술

Transcript

00:00:00Es miércoles por la mañana y deliberadamente no hice un episodio sobre el enorme ataque a la cadena de suministro, un nuevo y enorme ataque que ocurrió ayer afectando a más de 600 paquetes de NPM, otro ataque tipo shy-Hulu, porque no quiero hablar de eso todas las semanas.
00:00:23Pero hace un par de horas me desperté leyendo que GitHub está investigando la brecha de alrededor de 4000 repositorios internos debido a la vulneración del dispositivo de un empleado a través de una extensión de VS Code envenenada.
00:00:43Y la verdad es que estoy cansado. No pasa una semana sin incidentes de seguridad graves como este. La semana pasada tuvimos la oleada de ataques a la cadena de suministro relacionados con Tanstack, esta semana tuvimos otra y ahora tenemos ese ataque a GitHub y, hasta ahora, por lo que GitHub reveló, solo
00:01:07entre comillas, afectó a su repositorio; la exfiltración de alrededor de 4000 repositorios internos, no repositorios de clientes, tampoco repositorios privados de clientes, solo repositorios internos de GitHub, pero aun así, apenas pasa una semana sin un nuevo incidente como este.
00:01:27Y quiero decir, también tenemos todas estas vulnerabilidades de seguridad que se están encontrando, como la que involucra de nuevo a GitHub, la que se encontró hace un par de semanas y que permitía la ejecución remota de código.
00:01:38Fue detectada y parcheada antes de que pudiera ser aprovechada, pero la ciberseguridad se está convirtiendo obviamente en un problema enorme y sé que hablé de esto antes y hablé del papel de la IA y todo eso, que por supuesto es enorme porque la IA ayuda a encontrar vulnerabilidades de seguridad,
00:02:00ayuda a escribir código malicioso, ayuda a ejecutar ataques a la cadena de suministro y hace que esos ataques sean mucho más interesantes para los atacantes porque hay mucha gente nueva subiendo código, se está escribiendo más código que nunca, hay agentes escribiendo código e instalando paquetes, es el salvaje oeste ahí fuera ahora mismo.
00:02:24Es una línea de tiempo realmente molesta, tengo que decir eso. Estoy totalmente de acuerdo en que tienes que adaptarte a que la IA esté ahí, que tienes que aprender a trabajar con estas herramientas.
00:02:40Y eso es lo que he estado haciendo durante muchos meses y por eso creé cursos sobre Claude Code o Codex, pero también recientemente mi colega Manuel creó uno sobre el trabajo con Claude Code, porque queremos compartir lo que aprendimos sobre estas herramientas, cómo las estamos usando, cómo puedes quizás usarlas para ser más eficaz y cómo hacer esa transición de la escritura de código tradicional a ser un desarrollador mejorado por IA.
00:03:03Pero al mismo tiempo, seamos muy honestos, me encantaría tener una línea de tiempo más sencilla con menos incidentes de seguridad, con menos directores ejecutivos diciéndome todo el tiempo que todo el trabajo de oficina habrá terminado en un mes más o menos, pero aquí estamos.
00:03:21Aquí estamos con otro incidente de seguridad hoy y solo es miércoles por la mañana, como mencioné, así que veremos qué más surge durante el resto de esta semana.
00:03:30Y lo único que podemos hacer ahora, además de dejar la industria por supuesto, que es ciertamente lo que algunos desarrolladores hicieron o están considerando, lo único que puedes hacer si decides quedarte en esa industria es, por supuesto, adaptarte y aprender estas herramientas de IA, seguro, pero cuando se trata de seguridad, tomárselo realmente en serio.
00:03:50Y sé que también mencioné esto antes en episodios pasados, pero es, por ejemplo, la razón por la que creé un video completo y gratuito en mi otro canal de YouTube, que volveré a enlazar abajo, donde te guío a través de algunos pasos básicos que puedes tomar para tener un entorno de desarrollo más seguro.
00:04:08Y eso incluye cosas como usar un gestor de paquetes como pnpm o también bun, que es un gestor de paquetes más seguro por defecto. Por ejemplo, la última versión de pnpm tiene una antigüedad mínima de lanzamiento de un día, lo que significa que si instalas paquetes a través de él, no traerá paquetes que tengan menos de un día de existencia.
00:04:29Por lo tanto, se reduce el peligro de ser afectado por ataques a la cadena de suministro, ya que la mayoría de ellos, aunque no necesariamente todos, por supuesto, no tienes garantía, pero la mayoría se detectan bastante rápido, así que eso es algo bueno y, obviamente, puedes ajustar todas estas configuraciones.
00:04:44Y entonces gestores como este, pero también bun por ejemplo, bloquean la ejecución de scripts que pueden estar adjuntos a los paquetes que estás instalando.
00:04:55Y luego, por supuesto, hay otros pasos como ejecutar en un contenedor de desarrollo o en una máquina virtual al hacer tu desarrollo allí y no almacenar secretos en texto plano en tu máquina.
00:05:05Pero, por supuesto, uno también tiene que preguntarse, para GitHub, cómo la vulneración del dispositivo de un solo empleado, como parece ser, puede llevar a una exfiltración masiva de datos como esta, así que obviamente las grandes empresas o cualquier empresa con más que unos pocos empleados tendrán que repensar o reconsiderar qué tan grandes son sus radios de explosión y cuánto daño puede hacer un solo empleado.
00:05:31Y todo eso sucede en un momento en el que teóricamente querrías dar a los agentes de IA acceso masivo a todo tipo de datos para hacerlos eficientes, para que los agentes rastreen vastas cantidades de datos e interactúen con todo tipo de sistemas, así que tienes estas realidades que chocan ahora mismo.
00:05:53Y la verdad es que estás en gran peligro si no eres restrictivo con los permisos, los derechos de acceso, la seguridad de los datos y todas esas cosas divertidas que a nadie le importaron durante muchos, muchos años, pero ahora se está poniendo serio; la IA está haciendo estos ataques más fáciles y más rentables.
00:06:12Tiempos divertidos, tiempos divertidos para ser un desarrollador, pero bueno, probablemente solo pueda mejorar, ya veremos.

Key Takeaway

La creciente frecuencia de ataques a la cadena de suministro, exacerbada por la IA, exige que los desarrolladores adopten configuraciones de herramientas más estrictas, como pnpm o bun, y reevalúen la segmentación de permisos dentro de las empresas para limitar el radio de impacto de vulneraciones individuales.

Highlights

  • GitHub investiga la exfiltración de 4000 repositorios internos tras la vulneración del dispositivo de un empleado mediante una extensión de VS Code maliciosa.

  • El uso de gestores de paquetes como pnpm permite configurar una antigüedad mínima de lanzamiento de un día, lo que reduce la exposición a ataques recientes en la cadena de suministro.

  • Gestores como bun bloquean automáticamente la ejecución de scripts adjuntos a los paquetes durante su instalación.

  • La IA acelera la identificación de vulnerabilidades, la creación de código malicioso y la ejecución de ataques a la cadena de suministro.

  • La seguridad de los entornos de desarrollo requiere el uso de contenedores o máquinas virtuales y evitar el almacenamiento de secretos en texto plano.

Timeline

Ataques constantes a la cadena de suministro

  • Más de 600 paquetes de NPM fueron afectados por un ataque masivo a la cadena de suministro.
  • Un empleado de GitHub permitió la exfiltración de 4000 repositorios internos debido a una extensión de VS Code envenenada.
  • La IA facilita a los atacantes el descubrimiento de vulnerabilidades y la automatización de ataques a gran escala.

El panorama actual de ciberseguridad se caracteriza por incidentes semanales graves que afectan repositorios y dependencias. La proliferación de código generado por IA y el aumento en el uso de paquetes externos han creado un entorno de alto riesgo. Estos ataques son cada vez más rentables y frecuentes para los actores malintencionados.

Adaptación y prácticas de seguridad

  • La transición hacia un rol de desarrollador mejorado por IA es necesaria para mantener la eficacia profesional.
  • pnpm reduce riesgos al impedir la instalación de paquetes con menos de un día de existencia.
  • bun bloquea por defecto la ejecución de scripts maliciosos asociados a los paquetes instalados.

Ante la imposibilidad de abandonar la industria, la mitigación de riesgos depende de la implementación técnica de herramientas más seguras. La configuración de gestores de paquetes permite filtrar dependencias sospechosas mediante restricciones temporales. Además, se recomienda ejecutar el desarrollo dentro de contenedores o máquinas virtuales para aislar el entorno de trabajo de la máquina host.

Seguridad a nivel corporativo y futuro

  • Las empresas deben reconsiderar los radios de explosión para evitar que la vulneración de un solo empleado comprometa datos masivos.
  • La necesidad de restringir permisos y derechos de acceso es crítica al integrar agentes de IA con acceso a vastas cantidades de datos.
  • La seguridad de los datos dejó de ser un aspecto opcional para convertirse en una prioridad ineludible en el desarrollo moderno.

Las grandes organizaciones enfrentan el desafío de equilibrar la eficiencia de los agentes de IA con la protección de sistemas críticos. El acceso masivo a datos que requieren estos agentes choca frontalmente con la necesidad de implementar controles de acceso estrictos. La falta de rigor en la gestión de permisos en años anteriores es ahora un factor determinante de vulnerabilidad ante ataques automatizados.

Community Posts

No posts yet. Be the first to write about this video!

Write about this video