Los lenguajes C y C++, que ya han sido objeto de críticas por parte de la NSA, ya no son populares entre las más altas autoridades estadounidenses. De hecho, la Casa Blanca quiere que los desarrolladores utilicen lenguajes que protejan la memoria. En un informe publicado el lunes, la Oficina del Director Nacional Cibernético (ONCD) La Casa Blanca insta a los desarrolladores a reducir el riesgo de ciberataques mediante el uso de lenguajes que estén libres de vulnerabilidades de memoria. Las organizaciones de TI "pueden prevenir la introducción de múltiples vulnerabilidades en el ecosistema digital mediante la adopción de lenguajes seguros", dijo la oficina en un comunicado. Se refiere a aquellos que están protegidos contra desbordamientos de búfer, lecturas fuera de límites y fugas de memoria.

Índice
  1. El óxido se cita como ejemplo
  2. Transferencia de responsabilidad
  3. Un cambio que llevará tiempo

El óxido se cita como ejemplo

Estudios recientes de Microsoft y Google han demostrado que aproximadamente el 70% de todas las brechas de seguridad se deben a problemas de seguridad de la memoria. “Como nación, tenemos la capacidad y la responsabilidad de reducir la superficie de ataque en el ciberespacio y evitar que clases enteras de errores de seguridad ingresen al ecosistema digital, pero para hacerlo, debemos abordar el difícil problema de adoptar lenguajes de programación seguros para la memoria”, dijo Harry Coker, director de la Oficina del Director Nacional de Ciberseguridad. En una publicación de blog publicada en septiembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ofreció consejos similares a los desarrolladores.

En su informe de 19 páginas, la ONCD cita a C y C++ como dos ejemplos de lenguajes con vulnerabilidades de seguridad de memoria, y clasifica a Rust como seguro. Hoja informativa sobre ciberseguridad de la NSA de noviembre de 2022 Además de Rust, menciona a C#, Go, Java, Ruby y Swift como lenguajes seguros. Según Statista, en 2023, alrededor del 22 % de todos los desarrolladores usaban C++ y el 19 % usaba C, lo que los hace menos populares que JavaScript, Python, Java y algunos otros. Sin embargo, el índice Tiobe clasifica a Python como el más popular, seguido de C, C++ y Java.

Transferencia de responsabilidad

Uno de los objetivos del informe de la ONCD es trasladar la responsabilidad de la ciberseguridad de los individuos y las pequeñas empresas a las grandes corporaciones, las empresas de TI y el gobierno de Estados Unidos, que están “mejor equipadas para gestionar una amenaza en constante evolución”, según el comunicado de prensa de la Casa Blanca. La ONCD trabajó con el sector privado, incluidas las empresas de TI, el mundo académico y otras organizaciones, para desarrollar sus recomendaciones.

La organización lanzó una convocatoria pública para recibir comentarios sobre el tema en agosto. También recogió comentarios de varias empresas, entre ellas Hewlett Packard Enterprise, Accenture y Palantir, que respaldan la iniciativa. Otros expertos en seguridad de software también han elogiado el informe. Dan Grossman, profesor de informática fundamental en la Universidad de Washington, dijo que el informe de la ONCD es útil y oportuno. Si bien "los peligros de C y C++ se conocen desde hace décadas", es un buen momento para que la Casa Blanca presione por la seguridad de la memoria, "porque ahora hay alternativas maduras y prácticas disponibles", dijo.

Un cambio que llevará tiempo

Estos cambios también están siendo forzados por "la sofisticación de las amenazas de los adversarios que explotan las violaciones de seguridad de la memoria", añadió el profesor. "Las discusiones sobre seguridad de la memoria que involucran al gobierno, la industria y el mundo académico pueden conducir a cambios significativos", dijo. "Por supuesto, muchos departamentos del gobierno federal son proveedores y creadores de software clave, y pueden usar esa perspectiva para ayudar a priorizar futuros cambios en los sistemas o nuevos sistemas. Sin embargo, el abandono de C y C++ no ocurrirá de la noche a la mañana, especialmente en los sistemas integrados", reconoció Grossman. "Pero el uso de otros lenguajes para el software de sistemas, incluido Rust, ya ha aumentado significativamente, y muchos predicen que esto se acelerará en lugar de un cierre completo de C y C++, lo que todavía parece inimaginable".

El abandono de C y C++ será “largo y difícil”, afirmó Josh Aas, director ejecutivo y cofundador del Internet Security Research Group. “Se necesita un esfuerzo sostenido para lograr que la gente piense de manera diferente, y comunicaciones como esta ayudan a hacer patente la importancia de la seguridad. Para que se produzca el cambio, el gobierno y la industria deben trabajar juntos para hacer del código seguro una prioridad”, añadió. “Es evidente que necesitamos escribir e implementar código nuevo, pero para ello necesitamos recursos y líderes en todos los niveles, desde el gobierno hasta la industria, para que lo conviertan en una prioridad”, afirmó. “Los líderes deben ser conscientes de este problema y saber que recibirán apoyo mientras trabajan para solucionarlo”.