Un comandante militar estadounidense senior ha emitido una advertencia cruda sobre los esfuerzos coordinados de adversarios extranjeros para comprometer la infraestructura digital de Estados Unidos a través de vulnerabilidades de software de código abierto. El general Paul M. Nakasone, comandante del Comando Cibernético de los Estados Unidos, testificó ante el Comité de Servicios Armados del Senado que China y Rusia están insertando activamente el código malicioso en el software disponible públicamente utilizado en los sectores críticos de los Estados Unidos.
El software de código abierto objetivo forma la columna vertebral de las operaciones dentro de múltiples sectores vitales de la infraestructura estadounidense. El general Nakasone enfatizó que estos programas comprometidos son “ampliamente utilizados por el ejército, el gobierno y el sector privado de los Estados Unidos”, creando vulnerabilidades sistémicas. La transparencia inherente del software de código abierto, siendo accesible públicamente y modificable por cualquier persona, lo hace particularmente susceptible a dicha infiltración en estado-nación a pesar de su adopción generalizada en sistemas esenciales que incluyen redes eléctricas y redes de telecomunicaciones.
“Lo vemos de diferentes maneras”, dijo Nakasone durante la audiencia. “Estamos viendo a nuestros adversarios, en particular China y Rusia, [engaging] en la inserción del código malicioso en el software de código abierto “. El general enfatizó la naturaleza sofisticada de estas operaciones encubiertas, cuyo objetivo es establecer puntos de acceso persistentes dentro de los ecosistemas digitales estadounidenses.
Esta revelación se basa en las principales preocupaciones sobre la seguridad de la cadena de suministro de software después del devastador 2020 SolarWinds CyberAttack. Ese incidente, atribuido a los piratas informáticos rusos patrocinados por el estado, comprometió las redes en múltiples agencias gubernamentales de EE. UU. Y corporaciones privadas al explotar los mecanismos de actualización de software confiable. El incumplimiento expuso las debilidades fundamentales en cómo las organizaciones examinan los componentes de software de terceros.
El gobierno de los Estados Unidos ha intensificado su enfoque en asegurar la cadena de suministro de software en los últimos años. Estas preocupaciones culminaron en la orden ejecutiva del presidente Biden en mayo de 2025 que exige mejoras integrales de ciberseguridad, con disposiciones específicas que abordan las vulnerabilidades de la cadena de suministro. La orden estableció estándares de seguridad mejorados para el software vendido al gobierno federal y creó requisitos de informes más estrictos para incidentes cibernéticos.
Nakasone describió la amenaza actual como tomada “extraordinariamente en serio” en los niveles más altos de gobierno. El comando cibernético está colaborando ampliamente con socios del sector privado para identificar y neutralizar el código malicioso implantado. “Estamos trabajando muy estrechamente con nuestros socios en el sector privado para poder identificar esto”, confirmó, destacando el papel esencial de la colaboración de la industria en la defensa cibernética nacional.
El general solicitó específicamente medidas de protección reforzadas alrededor de la cadena de suministro de software de Estados Unidos, etiquetando las salvaguardas actuales insuficientes contra los sofisticados actores de estado-nación. Señaló que los adversarios explotan la naturaleza interconectada del desarrollo de software moderno, donde los componentes de código abierto se integran rutinariamente en productos comerciales y sistemas gubernamentales sin una investigación de seguridad exhaustiva.
Nakasone enmarcó el desafío como escala global, enfatizando que la acción unilateral sería insuficiente. “Este es un desafío global, y necesitamos trabajar juntos para abordarlo”, afirmó, abogando por las alianzas fortalecidas para contrarrestar colectivamente las amenazas digitales. La participación de China y Rusia indica una convergencia estratégica entre los adversarios cibernéticos que exige políticas internacionales de ciberseguridad y intercambio de inteligencia coordinados.
Los analistas de seguridad señalan que los compromisos de código abierto representan un multiplicador de fuerza para las naciones hostiles, lo que les permite dirigirse simultáneamente a miles de organizaciones a través de vulnerabilidades de un solo punto. A diferencia de los ataques cibernéticos tradicionales que requieren penetración de red individual, los componentes de software envenenado pueden distribuir automáticamente malware a todos los usuarios durante las actualizaciones de rutina.
La advertencia subraya la naturaleza evolutiva de la guerra cibernética, donde los ataques ocurren cada vez más mucho antes de la detección a través de herramientas de desarrollo comprometidas y dependencias de software. Los expertos en ciberseguridad observan que tales tácticas reflejan un cambio estratégico hacia el “preposicionamiento” dentro de los ecosistemas de software para permitir operaciones disruptivas futuras.
Según los informes, las agencias federales están desarrollando nuevos marcos para validar la integridad del software, incluida la implementación mejorada de requisitos de firma de código y la factura de materiales de software (SBOM). La administración también está considerando incentivos para que los mantenedores de código abierto adopten prácticas de seguridad mejoradas, reconociendo que muchos proyectos críticos operan con recursos limitados a pesar de su despliegue generalizado en infraestructura crítica.
A medida que las amenazas para las fundaciones digitales de Estados Unidos continúan evolucionando, el testimonio destaca la urgente necesidad de estrategias integrales que cierran los esfuerzos gubernamentales, del sector privado y internacional para asegurar el panorama de la cadena de suministro de software cada vez más complejo contra las sofisticadas amenazas de estado-nación.
Source: Pentágono: software de código abierto bajo ataque de adversarios extranjeros
