Alerta Linux: este malware ninja ultra-avanzado ya acecha las nubes de AWS y Google Cloud

Si bien es cierto que este tema de ciberseguridad Windows es el gran protagonista con problemas casi de forma semanal, eso está cambiando y ahora toda la atención se están poniendo en Linux, el sistema que sostiene buena parte de internet, los servidores y la nube.

Buena prueba de ello es VoidLink, un malware recién descubierto que tiene a los expertos trabajando para poner fin a un virus que consideran bastante peligroso.

Lo preocupante no es solo lo que hace, sino cómo lo hace. VoidLink no es un virus cualquiera: es una especie de navaja suiza que tiene más de 30 módulos que los atacantes pueden activar o desactivar según lo que quieran conseguir en cada momento. Hoy espía, mañana roba credenciales y pasado se mueve por toda la red sin que nadie lo note.

Los investigadores de la empresa de seguridad Check Point lo han encontrado casi por casualidad, analizando muestras en bases de datos de malware. No hay pruebas de que ya esté atacando de forma masiva, pero su diseño deja claro que va a entrar a la acción más pronto que tarde. El problema es que cuando uno se dé cuenta sea ya demasiado tarde.

Esta distro para Linux está arrasando entre usuarios que no pueden actualizar a Windows 11

VoidLink está pensado desde el principio para moverse dentro de la nube. Es decir, para colarse en servidores de Amazon Web Services, Google Cloud, Microsoft Azure y otras grandes plataformas donde hoy se guardan datos, aplicaciones y servicios críticos. Urge solucionar este problema. 

Cada vez más empresas gestionan todo su negocio a la nube: desde pequeñas startups hasta bancos, hospitales y administraciones públicas. Y sí, Amazon, Google y Microsoft son los grandes anfitriones de todos estos datos con sus servicios. Aquí no se trata solo de proteger un ordenador, sino redes enteras de servidores conectados entre sí.

Linus Torvalds, creador de Linux, se sincera sobre su relación con Microsoft y Windows: "¡La mayor parte funciona con Linux! Así que somos amigos"

Este 'malware' se esconde donde menos lo esperas

Tal y como se ha podido saber, VoidLink es capaz de saber en qué entorno estás trabajando. 

Si detecta que estás dentro de AWS, Google Cloud o Azure, adapta su comportamiento. Mira los metadatos del sistema, entiende si estás en un contenedor de Docker o en un clúster de Kubernetes, y actúa en función de eso.

Una vez instalado, puede hacer casi de todo: recopilar información del sistema, detectar programas de seguridad, robar contraseñas, llaves SSH y tokens, vigilar la red interna y moverse de un servidor a otro sin que te enteres. Incluso tiene funciones de tipo rootkit, diseñadas para camuflarse entre los procesos normales del sistema.

Un estudio desmonta el aura de "perfección" de Linux: "Hay errores que tardan años en detectarse, uno de ellos ha pasado desapercibido más de 20 años"

Los expertos mencionan algo importante una vez lo han descubierto y es que este malware no es obra de personas novatas en esto. Todo apunta a un desarrollo largo, bien financiado y con una estrategia clara. 

Incluso hay pistas en el código que dejan entrever un origen ligado a desarrolladores chinos, aunque eso no significa necesariamente que haya un gobierno detrás.

Antes comentado, por ahora no se han detectado infecciones reales. Es decir, VoidLink está listo para actuar, pero todavía no ha dado un paso más. Para muchos analistas, el miedo se palpa en el ambiente, ya que cuando una herramienta así aparece, suele ser cuestión de tiempo que alguien empiece a usarla.