Un complemento para Firefox infectado pasa inadvertido durante meses

Leo en Kriptópolis que mozilla distribuyó durante meses un complemento para Firefox que incluía código malicioso (fuente original en inglés), concretamente en el paquete que proporciona el soporte de lenguaje vietnamita, infectado el 28 de febrero de 2008. Por lo visto el malware, que afecta únicamente a sistemas operativos Windows, no fue detectado por el antivirus utilizado en el equipo de la Fundación Mozilla. No es la primera vez que Firefox se deja colar código malicioso en uno de sus complementos, hace tres años y medio Firefox distribuyó un searchplugin espía en su versión alemana.

Teniendo en cuenta que Firefox es una de las piezas de software libre más extendidas, que para más inri se ha ganado mucha de su popularidad a base de pregonar a los cuatro vientos su seguridad a prueba de bombas, quizás esta noticia debería hacernos reflexionar acerca de la mayor seguridad del software libre. Muchos hemos esgrimido en muchas ocasiones el argumento de que “cuatro ojos ven más que dos”, y sobre el código fuente de un programa libre puede haber potencialmente miles de ojos escudriñando cada línea. Pero la realidad nos dice que la inmunidad total no existe. Igual que en esta ocasión se ha introducido código malicioso de manera accidental en un complemento de uso minoritario y ha pasado desapercibido durante meses, mañana algún desarrollador descontento de la Fundación Mozilla podría meter código malicioso de manera intencionada en el corazón del navegador, y no descubrirse hasta haber provocado cuantiosos daños.

En realidad no pretendo equiparar el riesgo potencial de un programa libre con el de un programa privativo. Teniendo el código fuente a buen recaudo, un desarrollador de un programa privativo puede tener mayor tentación de meter código fraudulento, mientras que un desarrollador de un programa libre debería tener mayores reparos para hacerlo, porque tarde o temprano le desenmascararán. Yo, personalmente, siempre confiaré más en un programa libre que en uno privativo, aunque a priori sea imposible saber si alguno de los dos lleva regalito. Pero es evidente que no hay confianza ciega que valga. Cuatro ojos pueden ver más que dos, pero aún así siguen sin garantizar que lo verán todo, o que lo verán a tiempo.

Edición: Creo que he malinterpretado la noticia, y he inducido a malinterpretarla a otras personas. Según cuenta un usuario anónimo en Barrapunto, los paquetes distribuidos no incluían el gusano, sino unos documentos HTML modificados por el gusano, con javascript malicioso. Por lo tanto, aunque el gusano no es operativo en sistemas distintos a MS Windows, sus toxinas (el código javascript) afectarían a cualquier sistema.