Aunque estamos acostumbrados a confiar en GitHub como una web donde hacer todo tipo de descargas, sus usuarios se están comenzando a preocupar. Los expertos en seguridad hablan de un problema de virus que se está extendiendo y que podría generar serios dolores de cabeza para quienes utilizan esta plataforma.
Son muchas las personas habituadas a GitHub como lugar perfecto para conseguir aplicaciones y programas de todo tipo de desarrolladores. Hay una comunidad muy sólida detrás de la plataforma y, aunque es lógico que no se puede descargar a lo loco, es cierto que suele haber formas de evitar incidentes. Una de ellas es mediante las estrellas que tienen los programas, algo que ahora se ha descubierto que es un posible riesgo en el que no habíamos pensado.
Ya no podemos fiarnos
Hasta ahora el sistema de estrellas de GitHub era confiable. También sorprende que haya transmitido confianza durante tanto tiempo hasta que alguien ha llegado a estropearle la fiesta a los usuarios. Pero, por desgracia, ya ha ocurrido. Hablan de ello los investigadores de varias universidades, quienes han analizado la forma en la que se reúnen las estrellas de las valoraciones y la manera en la que se están utilizando para distribuir malware y virus sin que los usuarios sean conscientes de ello.
Pero, antes de nada, te gustará saber que, las mencionadas estrellas, las que determinan la reputación de un programa, se conceden con clics como si fueran los me gusta de una red social. Posiblemente que algún usuario entregue más de una estrella no sería un problema en términos globales, pero estos investigadores han descubierto que los hackers están usando bots para alterar las valoraciones. Y ahí es donde se genera el gran peligro.
El sistema está roto
Esto es lo que argumentan los investigadores. Aunque el uso de GitHub había sido muy tranquilo hasta ahora, la situación parece que se ha descontrolado con rapidez. Se han llegado a descubrir distintas aplicaciones y programas, en su mayoría falsos, que están creados para transmitir virus y malware a los usuarios que los descarguen y ejecuten. Son programas que, además, reciben miles de valoraciones positivas que llevan a que sus estrellas sean realmente altas de una manera irreal. El problema es que GitHub recompensa estos programas que tienen mejor valoración, así que se está viendo que hay muchas apps infectadas llegando a primer plano de los destacados de la web. Eso lleva a que las infecciones se multipliquen y que la plataforma vaya perdiendo credibilidad.
Explorando y profundizando en el problema, estos investigadores han llegado a descubrir que no solo se están usando bots para dar estrellas a los programas infectados. También dicen que han descubierto que hay webs donde se recompensa a personas reales para que aporten estrellas en GitHub y que así los programas infectados con malware sigan creciendo de una manera aparentemente orgánica.
Para probar todo lo que están diciendo, estos desarrolladores han creado una herramienta conocida como StarScout que se ha ocupado de analizar los datos de GitHub de los últimos 5 años. Y con ese análisis han descubierto que se han entregado alrededor de 4,5 millones de estrellas falsas en este periodo de tiempo. Además, han detectado que cada vez se otorgan más, así que se trata de un problema que está en crecimiento. También comentan que la mayoría de estos programas con estrellas falsas son bots de criptomonedas, juegos piratas o trucos de juegos. La mayor parte de estas herramientas no funciona o esconde el malware detrás de una app que no aporta ningún tipo de valor.
Debido a ello, se recomienda tener precaución con las descargas que se realizan en GitHub. Las estrellas ya no son un factor que se pueda tener en cuenta como herramienta de corte o como forma de comprobar la calidad de un programa. En lugar de esto, es recomendable buscar o visitar la web oficial de quienes han creado la herramienta y así comprobar que se trata de un programa real o no. En cualquier caso, se recomienda ser cuidadosos.
