A través del blog de Ubuntu, la compañía de Mark Shuttleworth ha emitido un comunitario en relación a los programas maliciosos de criptominado, detectados recientemente en su tienda de aplicaciones de paquetes snap (Snapcraft).

En ningún momento se pronuncia la palabra malware. Canonical abre su artículo con un debate filosófico sobre si el criptominado es legal o ético, para concluir explicando que la retirada de las apps 2048buntu y Hextrix (si Mark fuera Rajoy diría “esas aplicaciones de las que usted me habla”) se debió a que no estaba explicado el propósito secundario de las mismas: “No existen reglas contra el criptominado, pero engañar a los usuarios es un problema”.

La gente de Canonical incluso contactó con el desarrollador de la aplicación, el cual les informó de que su objetivo era monetizar el juego ya que la licencia (MIT) se lo permitía, ignorando las consecuencias sociales y técnicas. Incluso se ofreció a dejar de hacer eso una vez contactado. No hizo falta, Canonical rápidamente procedió a la retirada de todas su aplicaciones.

Más interesantes son las explicaciones sobre las medidas de seguridad existentes en Snapcraft y las que piensan implementar en un futuro. Según Canonical actualmente se realizan controles automatizadas y revisiones de tipo manual — en este último caso, solo cuando se detecta algún problema específico— similares a las que se realizan en las tiendas de software de otros sistemas operativos (iOS, Android, Windows). Personalmente no estoy seguro de que esa comparación favorezca a Snapcraft o de que incluso el grado de control en iOS vs Android sea similar.

Comentan en el artículo que la complejidad del software y la cantidad de programas hace imposible su revisión en detalle y se debe confiar más en el origen del producto, es decir la organización que provee el software, que en la aplicación en si.

Canonical ya está trabajando en una nueva característica para Snapcraft que permitirá crear cuentas verificadas a los proveedores de software. De esa manera los usuarios podrán identificar mejor al desarrollador o grupo de desarrolladores que están detrás de una snap y decidir sobre su instalación.

Además se reforzará el papel de la suite de seguridad AppArmor, introduciendo nuevas capacidades en forma de parches upstream, con dirección al kernel y de los que se podrán beneficiar el resto de distros.

En el comunicado se recuerda finalmente las características de seguridad avanzadas que incluye este formato de paquetes en cuanto a aislamiento del resto del sistema y las ventajas que proporciona a la hora de desarrollar y distribuir software compatible con cualquier sistema Linux. También de acceso a versiones nuevas de programas.

Veremos si las snaps y otros paquetes similares como Flatkpak, se acaban imponiendo entre los usuarios o continuamos con el modelo de repositorio tradicional. En él, los encargados del mantenimiento de una distro, empaquetan sus paquetes a partir del código fuente y deciden cuales estarán incluidos de forma predeterminada, añadiendo una capa de control de calidad, ausente en este tipo de tiendas. Incluso pueden ayudar a prevenir comportamientos abusivos como el que hemos mencionado.

El tiempo lo dirá, pero mientras tanto se agradece el esfuerzo de Canonical por tomar conciencia de este problema y considerar más medidas de seguridad en su plataforma de aplicaciones.