Ricardo Naranjo

Confianza digital en el software libre. La historia de la librería XZ y sus impactos

Resumen corto:

En el marco del ISACA’s Digital Trust Ecosystem Framework (DTEF), esta charla abordará el debate sobre la seguridad del software libre frente al propietario. A pesar de las críticas al modelo colaborativo del software libre, la práctica ha demostrado su eficacia en seguridad. Se presentará un caso de estudio sobre una brecha de seguridad en la Librería XZ, analizando desde la intrusión hasta la solución. Al final, se ofrecerá una guía para que los estrategas elijan software libre en proyectos DTEF, estableciendo políticas que mejoren la ciberseguridad y fomenten la confianza digital.


Explicación del contenido de la charla:

El software libre frecuentemente es cuestionado por sus detractores debido a su modelo colaborativo de construcción, abogando que su metodología de desarrollo no brinda ni calidad ni seguridad. Sin embargo, en múltiples ocasiones, la práctica ha demostrado que los resultados en materia de seguridad son contundentes y más eficaces que en software privado.

Uno de las brechas de seguridad más recientes en el mundo de Linux y el software libre fue la ocurrida en la librería XZ. Los detractores del software libre han catalogado el suceso como el incidente más peligroso de los últimos tiempos. Sin embargo, al analizar la historia sucedida con ésta brecha de seguridad, sus causas, la detección del problema y la velocidad de corrección se demuestra cómo la seguridad del modelo del software libre es contundente.

La idea de la charla es explicar cómo una pequeña librería de compresión de datos, que es utilizada por prácticamente toda la infraestructura digital moderna, mantenida por un ingeniero en un pequeño pueblo, enfermo, cansado y con ganas de retirarse, fue vulnerada por un hábil delincuente que durante varios años se infiltró en el equipo de desarrollo hasta ser elegido para reemplazarlo, se aprovechó de su lugar en la comunidad para incrustar un código de malware en la librería. Fue detectado y evidenciado por un usuario de openSSH que detectó una demora de unos despreciables 500 milisegundos en el funcionamiento y echó para abajo toda la estratagema de ingeniería social.

Fecha: Dia 1 - Julio 30
Hora : ​7:30 a 8:15 PM 

Sobre nuestro conferencista:

Ricardo Naranjo Faccini
Ingeniero, empresario y docente enfocado en el sector de la tecnología de información y comunicaciones, con amplia experiencia en desarrollo de software seguro, seguridad de la información, el uso de estándares de comunicación y la óptima integración del software libre en las organizaciones.
Ingeniero Civil, Uniandes 1995; Magister en Ingeniería de sistemas y computación, Uniandes 1998.
Actualmente se desempeña como gerente de Skina IT Solutions, siendo el desarrollador líder del software 27kPal  para gestión de la seguridad de la información y complementa su vida profesional como profesor de cátedra en la Universidad Javeriana

Inscribete aquí