Python Package Index (PyPI) ha anunciado que exigirá que cada cuenta que gestione un proyecto en la plataforma tenga activada la autenticación de dos factores (2FA) a finales de año.
PyPI es un repositorio de software para paquetes creados en el lenguaje de programación Python. El índice alberga 200.000 paquetes, lo que permite a los desarrolladores encontrar paquetes existentes que satisfagan los requisitos de diversos proyectos, ahorrándoles tiempo y esfuerzo.
El equipo de PyPI afirma que la decisión de hacer obligatoria la 2FA en todas las cuentas forma parte de su compromiso a largo plazo para mejorar la seguridad en la plataforma, complementando medidas anteriores tomadas en esa dirección, como el bloqueo de credenciales comprometidas y el soporte de tokens API.
Una de las ventajas de la protección 2FA es la reducción del riesgo de ataques a la cadena de suministro. Este tipo de ataques se producen cuando un actor malicioso se hace con el control de la cuenta de un mantenedor de software y añade una puerta trasera o malware a un paquete utilizado como dependencia en varios proyectos de software.
Dependiendo de la popularidad del paquete, estos ataques pueden afectar a millones de usuarios. Aunque los desarrolladores son responsables de inspeccionar minuciosamente los bloques de construcción de sus proyectos, la medida de PyPI debería facilitar la minimización de este tipo de problemas.
Además, el repositorio del proyecto Python ha sufrido en los últimos meses la subida desenfrenada de malware, la famosa suplantación de paquetes y el reenvío de código malicioso utilizando cuentas secuestradas.
El problema alcanzó tal magnitud que PyPI tuvo que pausar temporalmente la semana pasada los registros de nuevos usuarios y proyectos hasta que se pudiera desarrollar e implantar una solución de defensa eficaz.
La protección 2FA ayudará a mitigar el problema de los ataques de apropiación de cuentas y también debería establecer un límite sobre cuántas cuentas nuevas puede crear un usuario suspendido para volver a cargar paquetes maliciosos.
El requisito de establecer 2FA en todas las cuentas de mantenedores de proyectos y organizaciones tiene de plazo hasta finales de 2023.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian