{"id":7519,"date":"2025-09-09T11:25:11","date_gmt":"2025-09-09T14:25:11","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=7519"},"modified":"2025-09-09T11:35:25","modified_gmt":"2025-09-09T14:35:25","slug":"npm-00001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/npm-00001\/","title":{"rendered":"NPM y Seguridad en 2025: El Riesgo Silencioso para las Cripto Billeteras"},"content":{"rendered":"

El Ladr\u00f3n Silencioso en tu C\u00f3digo: La Batalla por la Seguridad de las Cripto Billeteras en el Ecosistema NPM<\/span><\/h1>\n

 <\/p>\n

\"NPM\"<\/a>
NPM<\/figcaption><\/figure>\n

El caf\u00e9 de la ma\u00f1ana del lunes 8 de septiembre ten\u00eda el mismo sabor de siempre para miles de desarrolladores en todo el mundo. <\/span><\/p>\n

El ritual era el mismo: abrir la terminal, navegar al directorio de un proyecto y teclear un comando casi muscular: <\/span>npm update<\/span><\/code>. Un gesto trivial, el equivalente digital a desempolvar el taller antes de empezar a trabajar. <\/span><\/p>\n

Lo que nadie sab\u00eda es que, para un n\u00famero incalculable de ellos, ese simple acto era como abrirle la puerta de casa a un ladr\u00f3n invisible, uno que no buscaba joyas ni efectivo, sino las llaves maestras del futuro financiero de sus usuarios.<\/span><\/p>\n

Ayer, el ecosistema de Node Package Manager<\/a> (NPM), el repositorio de c\u00f3digo m\u00e1s grande del mundo y la columna vertebral de gran parte de la web moderna, sufri\u00f3 lo que ya se perfila como uno de los ataques a la cadena de suministro de software m\u00e1s devastadores de su historia. <\/span><\/p>\n

Paquetes tan fundamentales y aparentemente inofensivos como <\/span>chalk<\/span><\/code>, <\/span>debug<\/span><\/code>, y <\/span>color-convert<\/span><\/code> \u2014herramientas que se usan para tareas tan mundanas como dar color al texto en una consola de desarrollador\u2014 fueron secuestrados. <\/span><\/p>\n

Sus mantenedores leg\u00edtimos perdieron el control, y en su lugar se inyect\u00f3 un c\u00f3digo malicioso, dise\u00f1ado con un \u00fanico y escalofriante prop\u00f3sito: interceptar y desviar transacciones de criptomonedas directamente desde los navegadores de los usuarios.<\/span><\/p>\n

Este no es un ataque a una oscura y olvidada librer\u00eda. Esto es el equivalente a envenenar el suministro de tornillos y clavos de la ferreter\u00eda global. <\/span><\/p>\n

Millones de proyectos, desde simples p\u00e1ginas web hasta complejas aplicaciones financieras, dependen de estos paquetes. <\/span><\/p>\n

El ataque de ayer no fue un disparo dirigido; fue un ataque generalizado que impact\u00f3 en la base del desarrollo web moderno, y sus esquirlas ahora amenazan con vaciar las billeteras de incontables v\u00edctimas que ni siquiera saben que est\u00e1n en peligro.<\/span><\/p>\n

La noticia, que estall\u00f3 en foros de seguridad y redes sociales, es solo el cap\u00edtulo m\u00e1s reciente y dram\u00e1tico de una guerra silenciosa pero encarnizada. <\/span><\/p>\n

Una guerra que se libra no en campos de batalla, sino en l\u00edneas de c\u00f3digo; no con balas, sino con ingenio malicioso. Durante el \u00faltimo a\u00f1o, una serie de incidentes cada vez m\u00e1s sofisticados han demostrado que el ecosistema NPM se ha convertido en el vector de ataque preferido para los ciberdelincuentes que apuntan al floreciente mundo de los activos digitales. <\/span><\/p>\n

Lo que antes eran escaramuzas aisladas se ha convertido en una ofensiva total. <\/span><\/p>\n

Esta es la cr\u00f3nica de c\u00f3mo llegamos aqu\u00ed, de c\u00f3mo la confianza que sustenta el software de c\u00f3digo abierto est\u00e1 siendo sistem\u00e1ticamente erosionada, y de lo que podemos hacer para defendernos en un mundo donde una simple actualizaci\u00f3n puede costarnos todo.<\/span><\/p>\n

Radiograf\u00eda del ataque: impacto en la infraestructura<\/h2>\n

Para entender la magnitud del ataque del 8 de septiembre, primero hay que comprender la naturaleza de las dependencias en el desarrollo de software. <\/span><\/p>\n

Ning\u00fan programador construye una aplicaci\u00f3n moderna desde cero. En su lugar, se apoyan en un vasto ecosistema de “paquetes” o “librer\u00edas” de c\u00f3digo abierto, piezas pre-construidas que manejan tareas comunes. <\/span><\/p>\n

NPM es el mercado y almac\u00e9n de estas piezas para el mundo de JavaScript.<\/span><\/p>\n

Librer\u00edas como <\/span>chalk<\/span><\/code> o <\/span>debug<\/span><\/code> son lo que se conoce como dependencias de desarrollo. Son herramientas que ayudan al programador, pero que en teor\u00eda no deber\u00edan afectar al usuario final. <\/span>Chalk<\/span><\/code>, por ejemplo, es usado por casi 50,000 otros paquetes y tiene m\u00e1s de 200 millones de descargas semanales. <\/span><\/p>\n

Su funci\u00f3n es simple: permitir que los mensajes en la consola de un desarrollador aparezcan en colores, haciendo que la depuraci\u00f3n sea m\u00e1s f\u00e1cil de leer. Es una utilidad, una comodidad. Nadie sospechar\u00eda de ella.<\/span><\/p>\n

Y ah\u00ed radica la genialidad del ataque. Los actores maliciosos detr\u00e1s de este golpe no crearon un paquete nuevo y enga\u00f1oso. En su lugar, comprometieron las cuentas de los mantenedores de estos paquetes ubicuos. Una vez dentro, publicaron una nueva “versi\u00f3n menor” de la librer\u00eda, una que conten\u00eda un poliz\u00f3n.<\/span><\/p>\n

El c\u00f3digo malicioso era sutil y peligrosamente inteligente. <\/span><\/p>\n

Estaba dise\u00f1ado para activarse \u00fanicamente en el entorno del navegador, es decir, cuando el c\u00f3digo de la aplicaci\u00f3n se ejecuta en el Chrome, Firefox o Safari de un usuario final. <\/span><\/p>\n

Su mecanismo era doble. Primero, buscaba y “secuestraba” el objeto <\/span>window.ethereum<\/span><\/code>. <\/span><\/p>\n

En el mundo de las criptomonedas, este objeto es la puerta de enlace que billeteras como MetaMask inyectan en el navegador para permitir que las p\u00e1ginas web interact\u00faen con la blockchain de Ethereum. <\/span><\/p>\n

Al tomar control de este puente, el malware pod\u00eda interceptar cualquier transacci\u00f3n que el usuario intentara realizar.<\/span><\/p>\n

\"NPM\"<\/a>
NPM<\/figcaption><\/figure>\n

En segundo lugar, el c\u00f3digo sobrescrib\u00eda funciones nativas del navegador como <\/span>fetch<\/span><\/code> y <\/span>XMLHttpRequest<\/span><\/code>, las herramientas est\u00e1ndar que las p\u00e1ginas web utilizan para comunicarse con servidores. <\/span><\/p>\n

Esto le permit\u00eda inspeccionar todo el tr\u00e1fico de red. Cuando detectaba una cadena de caracteres que se parec\u00eda a una direcci\u00f3n de billetera de criptomonedas (ya sea de Bitcoin, Ethereum, Solana, Litecoin o Tron), la reemplazaba silenciosamente por una direcci\u00f3n perteneciente a los atacantes.<\/span><\/p>\n

El resultado es una estafa casi perfecta. El usuario abre su aplicaci\u00f3n de finanzas descentralizadas (DeFi), ve su saldo correcto, y decide enviar 1 ETH a un amigo. <\/span><\/p>\n

La interfaz de MetaMask se abre, muestra la direcci\u00f3n correcta de su amigo, el monto correcto, y el usuario aprueba la transacci\u00f3n con confianza. Pero en el instante entre la aprobaci\u00f3n y el env\u00edo a la red, el malware cambia la direcci\u00f3n de destino. <\/span><\/p>\n

El ETH del usuario nunca llega a su amigo; en su lugar, se desvanece en la billetera del atacante, una transacci\u00f3n irreversible grabada para siempre en la blockchain. Para el usuario, todo parece normal hasta que se da cuenta, demasiado tarde, de que sus fondos han desaparecido.<\/span><\/p>\n

Este ataque a la cadena de suministro es el peor escenario posible. No importa cu\u00e1n segura sea la aplicaci\u00f3n principal; si una de sus cientos de dependencias, incluso una que parece trivial, est\u00e1 comprometida, toda la estructura se derrumba. La confianza depositada en el ecosistema de c\u00f3digo abierto se convierte en el arma del atacante.<\/span><\/p>\n

Alertas tempranas: indicios que nadie quiso ver<\/h2>\n

El desastre de <\/span>chalk<\/span><\/code> no surgi\u00f3 de la nada. Fue la culminaci\u00f3n de una serie de ataques cada vez m\u00e1s audaces que sirvieron como se\u00f1ales de advertencia. Los investigadores de seguridad, mirando en retrospectiva, pueden trazar una l\u00ednea directa desde las estafas m\u00e1s simples hasta la compleja operaci\u00f3n de ayer.<\/span><\/p>\n

Los Falsos Profetas: La Suplantaci\u00f3n de Flashbots<\/span><\/strong><\/p>\n

A principios de a\u00f1o, la comunidad de Ethereum vio una oleada de paquetes maliciosos en NPM que se hac\u00edan pasar por herramientas relacionadas con Flashbots, un popular proyecto que ayuda a los operadores de la red a optimizar la inclusi\u00f3n de transacciones. <\/span><\/p>\n

Los nombres eran astutamente similares a los reales: <\/span>@flashbotts\/ethers-provider-bundle<\/span><\/code> (con una ‘t’ extra), <\/span>flashbot-sdk-eth<\/span><\/code>, <\/span>sdk-ethers<\/span><\/code>.<\/span><\/p>\n

Estos paquetes no eran troyanos sutiles; eran trampas de oso digitales. Su \u00fanico prop\u00f3sito era robar credenciales. Por ejemplo, <\/span>@flashbotts\/ethers-provider-bundle<\/span><\/code> no solo buscaba variables de entorno que contuvieran claves privadas, sino que tambi\u00e9n las exfiltraba usando un m\u00e9todo rudimentario pero efectivo: el correo electr\u00f3nico (SMTP). <\/span><\/p>\n

Adem\u00e1s, redirig\u00eda transacciones no firmadas a las billeteras de los atacantes. Otro, <\/span>sdk-ethers<\/span><\/code>, estaba programado para enviar la frase semilla mnem\u00f3nica del desarrollador \u2014la clave maestra de todas sus cuentas\u2014 a un bot de Telegram controlado por los criminales en el momento en que se invocaba.<\/span><\/p>\n

Estos ataques eran m\u00e1s directos y menos sigilosos. Apuntaban al desarrollador, no al usuario final, con la esperanza de que, en su prisa por implementar una nueva herramienta, no revisaran el c\u00f3digo fuente de una dependencia que parec\u00eda leg\u00edtima. Fue una lecci\u00f3n temprana sobre la importancia de la verificaci\u00f3n y la desconfianza.<\/span><\/p>\n

El Invasor del Hogar: <\/span>nodejs-smtp<\/span><\/code> y el Asalto a las Billeteras de Escritorio<\/span><\/strong><\/p>\n

Poco despu\u00e9s, la amenaza evolucion\u00f3. El objetivo se desplaz\u00f3 del desarrollador al usuario, y el campo de batalla se movi\u00f3 del c\u00f3digo fuente al software instalado en el ordenador de la v\u00edctima. <\/span><\/p>\n

Un paquete malicioso llamado <\/span>nodejs-smtp<\/span><\/code> apareci\u00f3 en NPM, imitando al popular <\/span>nodemailer<\/span><\/code>, una librer\u00eda leg\u00edtima para enviar correos.<\/span><\/p>\n

Este paquete conten\u00eda un payload dise\u00f1ado para un tipo espec\u00edfico de v\u00edctima: usuarios de billeteras de escritorio basadas en Electron, como Atomic Wallet y Exodus, en sistemas operativos Windows. <\/span><\/p>\n

Electron es un framework que permite crear aplicaciones de escritorio usando tecnolog\u00edas web. Estas aplicaciones empaquetan su c\u00f3digo fuente en un archivo llamado <\/span>app.asar<\/span><\/code>.<\/span><\/p>\n

El malware, una vez que un desarrollador lo inclu\u00eda por error en su proyecto, actuaba como un virus. Escaneaba el sistema en busca de estas aplicaciones. <\/span><\/p>\n

Al encontrar una, desempaquetaba el archivo <\/span>app.asar<\/span><\/code>, inyectaba su propio c\u00f3digo malicioso en los archivos de la billetera, y luego volv\u00eda a empaquetar el archivo, borrando sus huellas.<\/span><\/p>\n

El c\u00f3digo inyectado era un par\u00e1sito perfecto. NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM,\u00a0<\/span><\/span><\/p>\n

Se alojaba dentro de la l\u00f3gica de la billetera y monitoreaba las transacciones salientes. <\/span><\/p>\n

Cuando el usuario intentaba enviar Bitcoin, Ethereum, Tether o cualquier otra criptomoneda soportada, el malware interven\u00eda en el \u00faltimo milisegundo para cambiar la direcci\u00f3n del destinatario por una de las suyas. <\/span><\/p>\n

Al igual que con el ataque a <\/span>chalk<\/span><\/code>, la interfaz de usuario mostraba la informaci\u00f3n correcta, enga\u00f1ando a la v\u00edctima para que aprobara su propio robo. NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM, NPM,<\/span>\u00a0<\/span><\/p>\n

Este ataque fue un salto cualitativo. Demostr\u00f3 que las vulnerabilidades de NPM no solo amenazaban las aplicaciones web, sino que pod\u00edan ser un puente para infiltrarse y modificar permanentemente el software que se ejecuta con altos privilegios en el ordenador de un usuario.<\/span><\/p>\n

La Campa\u00f1a Silenciosa: <\/span>pdf-to-office<\/span><\/code><\/strong><\/p>\n

Incluso antes, en abril de 2025, una campa\u00f1a similar utiliz\u00f3 un paquete llamado <\/span>pdf-to-office<\/span><\/code>. Como su nombre indica, se disfrazaba de una herramienta de conversi\u00f3n de documentos. <\/span><\/p>\n

Su modus operandi era casi id\u00e9ntico al de <\/span>nodejs-smtp<\/span><\/code>: buscar instalaciones locales de Atomic Wallet y Exodus y parchear sus archivos para interceptar transferencias. <\/span><\/p>\n

Seg\u00fan los investigadores de la firma de seguridad ReversingLabs, esta fue una de las primeras campa\u00f1as importantes en demostrar la viabilidad de este vector de ataque, sentando las bases para las operaciones m\u00e1s sofisticadas que vendr\u00edan despu\u00e9s.<\/span><\/p>\n

Estos incidentes, vistos en conjunto, pintan un cuadro claro: los atacantes estaban probando, aprendiendo y refinando sus m\u00e9todos. <\/span><\/p>\n

Pasaron de simples robos de credenciales a complejas inyecciones de c\u00f3digo en aplicaciones de escritorio, y finalmente, al secuestro a gran escala de la infraestructura fundamental de la web. <\/span><\/p>\n

Cada \u00e9xito los envalentonaba para el siguiente paso, que culmin\u00f3 en la cat\u00e1strofe del 8 de septiembre.<\/span><\/p>\n

NPM en crisis: cuando la confianza se convierte en vulnerabilidad<\/h2>\n

\u00bfC\u00f3mo es posible que esto suceda a una escala tan masiva? <\/span><\/p>\n

\"NPM\"<\/a>
NPM<\/figcaption><\/figure>\n

La respuesta se encuentra en la propia filosof\u00eda que hizo de NPM un \u00e9xito. NPM es un ecosistema basado en la confianza y la facilidad de uso. Con unos pocos comandos, un desarrollador puede integrar el trabajo de miles de otros programadores en su proyecto. <\/span><\/p>\n

Esta capacidad de componer software a partir de bloques de construcci\u00f3n existentes ha impulsado una era de innovaci\u00f3n sin precedentes.<\/span><\/p>\n

Pero esta fortaleza es tambi\u00e9n su mayor debilidad. La facilidad con la que se puede publicar y consumir un paquete ha creado una cultura de “instalar primero, preguntar despu\u00e9s”. <\/span><\/p>\n

Un proyecto de tama\u00f1o mediano puede tener f\u00e1cilmente m\u00e1s de mil dependencias indirectas. Un desarrollador puede instalar conscientemente una docena de paquetes, pero cada uno de esos paquetes tiene sus propias dependencias, creando un \u00e1rbol complejo y a menudo inescrutable de c\u00f3digo de terceros. <\/span><\/p>\n

\u00bfQui\u00e9n es responsable de auditar cada una de esas mil librer\u00edas?<\/span><\/p>\n

Adem\u00e1s, muchos paquetes cr\u00edticos son mantenidos por voluntarios. <\/span><\/p>\n

Una persona, en su tiempo libre, puede ser la \u00fanica responsable de un c\u00f3digo del que dependen empresas multimillonarias. <\/span><\/p>\n

Esta persona puede cometer un error, su cuenta puede ser comprometida a trav\u00e9s de un simple ataque de phishing, o puede simplemente abandonar el proyecto, dejando un vac\u00edo que los actores maliciosos est\u00e1n m\u00e1s que felices de llenar.<\/span><\/p>\n

El sistema de control de NPM ha mejorado con los a\u00f1os, implementando medidas como la autenticaci\u00f3n de dos factores y el escaneo de vulnerabilidades. Sin embargo, no est\u00e1 dise\u00f1ado para juzgar la intenci\u00f3n del c\u00f3digo. <\/span><\/p>\n

Si un mantenedor leg\u00edtimo publica una nueva versi\u00f3n, NPM asume que es una actualizaci\u00f3n leg\u00edtima. <\/span><\/p>\n

No puede distinguir entre una correcci\u00f3n de errores y la inyecci\u00f3n de un malware que roba criptomonedas.<\/span><\/p>\n

Esta “crisis de la cadena de suministro de software” no es exclusiva de las criptomonedas, pero el sector de los activos digitales es un objetivo especialmente atractivo por tres razones:<\/span><\/p>\n

    \n
  1. Irreversibilidad:<\/span><\/strong> Una vez que una transacci\u00f3n de criptomonedas se confirma en la blockchain, es imposible revertirla. No hay un banco al que llamar para cancelar el pago.<\/span><\/li>\n
  2. Anonimato (relativo):<\/span><\/strong> Aunque las transacciones son p\u00fablicas, las direcciones de las billeteras son seud\u00f3nimas. Es extremadamente dif\u00edcil vincular una direcci\u00f3n a una identidad del mundo real.<\/span><\/li>\n
  3. Activos al portador:<\/span><\/strong> Las criptomonedas son “activos al portador”. Quien posee las claves privadas, posee los fondos. No hay un registro central de propiedad. Esto hace que el robo sea limpio y final.<\/span><\/li>\n<\/ol>\n

    La combinaci\u00f3n de un ecosistema de software vasto, interconectado y basado en la confianza, con un tipo de activo digital que es perfecto para el robo, ha creado la tormenta perfecta. Los atacantes han entendido esto mejor y m\u00e1s r\u00e1pido que los defensores.<\/span><\/p>\n

    Forjando el Escudo – Una Gu\u00eda de Supervivencia en el Cono Urbano Digital<\/span><\/h2>\n

    Frente a esta amenaza existencial, tanto los desarrolladores como los usuarios deben abandonar la complacencia y adoptar una postura de defensa proactiva. <\/span><\/p>\n

    La era de la confianza ciega lleg\u00f3 a su fin.<\/span><\/p>\n

    Para los Desarrolladores: La Fortaleza del C\u00f3digo<\/span><\/strong><\/p>\n

      \n
    1. Fijar las Dependencias (Pinning):<\/span><\/strong> La pr\u00e1ctica m\u00e1s crucial es dejar de usar rangos de versiones flexibles en el archivo <\/span>package.json<\/span><\/code>. En lugar de permitir que NPM instale la “\u00faltima” versi\u00f3n menor de un paquete (ej. <\/span>^1.2.3<\/span><\/code>), se deben especificar versiones exactas (ej. <\/span>1.2.3<\/span><\/code>). Esto se logra usando un archivo de bloqueo (<\/span>package-lock.json<\/span><\/code> o <\/span>yarn.lock<\/span><\/code>), que garantiza que cada instalaci\u00f3n sea id\u00e9ntica y predecible. Esto evita que una actualizaci\u00f3n maliciosa se cuele autom\u00e1ticamente en el proyecto.<\/span><\/li>\n
    2. Auditor\u00eda Rigurosa:<\/span><\/strong> Herramientas como <\/span>npm audit<\/span><\/code> son un primer paso, pero a menudo son insuficientes. Es necesario adoptar herramientas de An\u00e1lisis de Composici\u00f3n de Software (SCA) que escanean profundamente las dependencias en busca de vulnerabilidades conocidas y, cada vez m\u00e1s, de comportamientos sospechosos. Para proyectos de alto valor, el uso de registros privados (private registries) que act\u00faan como un intermediario curado entre NPM y el desarrollador puede a\u00f1adir una capa vital de seguridad.<\/span><\/li>\n
    3. El Principio de M\u00ednimo Privilegio:<\/span><\/strong> Se debe cuestionar cada dependencia. \u00bfRealmente necesita este paquete acceso a la red? \u00bfNecesita acceso al sistema de archivos? Est\u00e1n surgiendo nuevos entornos de ejecuci\u00f3n como Deno que ofrecen un modelo de seguridad m\u00e1s granular, donde los scripts deben solicitar expl\u00edcitamente permisos para realizar acciones sensibles. La comunidad de Node.js est\u00e1 explorando modelos similares.<\/span><\/li>\n<\/ol>\n

      Consejos pr\u00e1cticos para los usuarios<\/h3>\n
        \n
      1. La Billetera de Hardware es el Rey:<\/span><\/strong> Si hay una lecci\u00f3n que aprender de estos ataques, es esta: cualquier billetera que gestione claves privadas en un dispositivo conectado a internet (“billetera caliente”) es inherentemente vulnerable. Los ataques de suplantaci\u00f3n de direcciones son triviales para el malware. La soluci\u00f3n es una billetera de hardware (como Ledger o Trezor). Estos dispositivos almacenan las claves privadas sin conexi\u00f3n y requieren que el usuario confirme f\u00edsicamente cada transacci\u00f3n en la pantalla del propio dispositivo. Si el malware en el ordenador cambia la direcci\u00f3n de destino, el usuario lo ver\u00e1 en la pantalla de su billetera de hardware y podr\u00e1 cancelar la transacci\u00f3n. Es la \u00faltima y m\u00e1s fiable l\u00ednea de defensa.<\/span><\/li>\n
      2. Higiene y Vigilancia Digital:<\/span><\/strong> Descargar software solo de fuentes oficiales. Ser esc\u00e9ptico con las actualizaciones. Utilizar marcadores para acceder a los sitios de finanzas descentralizadas en lugar de buscarlos en Google, para evitar resultados de b\u00fasqueda maliciosos. Segmentar los fondos en diferentes billeteras para limitar el da\u00f1o potencial de un solo compromiso.<\/span><\/li>\n
      3. Escanear en Busca de Infecciones:<\/span><\/strong> Los usuarios de billeteras de escritorio como Atomic y Exodus que sospechen haber sido comprometidos deben buscar ayuda de expertos para verificar la integridad de los archivos de su aplicaci\u00f3n. Lamentablemente, para muchos, la \u00fanica opci\u00f3n segura es mover los fondos restantes a una nueva billetera segura y reinstalar completamente el sistema operativo.<\/span><\/li>\n<\/ol>\n

        El Fin de la Inocencia<\/span><\/h2>\n

        El ataque del 8 de septiembre de 2025 ser\u00e1 recordado como un punto de inflexi\u00f3n. <\/span><\/p>\n

        Fue el d\u00eda en que la amenaza abstracta de un ataque a la cadena de suministro se convirti\u00f3 en una realidad tangible y aterradora para millones de personas. <\/span><\/p>\n

        Puso de manifiesto la fr\u00e1gil base de confianza sobre la que se construye gran parte de nuestro mundo digital y demostr\u00f3 que en el ecosistema de las criptomonedas, la seguridad es una cadena tan fuerte como su eslab\u00f3n m\u00e1s d\u00e9bil, y a menudo, ese eslab\u00f3n es una peque\u00f1a y olvidada librer\u00eda escrita por un voluntario al otro lado del mundo.<\/span><\/p>\n

        Esta no es una batalla que se ganar\u00e1 con una sola soluci\u00f3n tecnol\u00f3gica. <\/span><\/p>\n

        Requerir\u00e1 un cambio cultural fundamental. Los desarrolladores deben pasar de una mentalidad de “moverse r\u00e1pido y romper cosas” a una de “moverse con cuidado y verificar todo”. Los usuarios deben educarse y asumir una mayor responsabilidad personal por la seguridad de sus propios activos. <\/span><\/p>\n

        Y las plataformas como NPM deben seguir evolucionando, equilibrando la apertura que las hizo grandes con los controles necesarios para proteger a su comunidad de los lobos que ahora acechan en la puerta.<\/span><\/p>\n

        La guerra contra los genios con “otro reloj \u00e9tico” en nuestro c\u00f3digo apenas empez\u00f3. <\/span><\/p>\n

        Ser\u00e1 una pelea larga y dif\u00edcil, librada en la oscuridad de las terminales de comando y en las profundidades del c\u00f3digo fuente. Pero es una lucha que la comunidad del software de c\u00f3digo abierto y de los activos digitales debe ganar. <\/span><\/p>\n

        La promesa de una web m\u00e1s descentralizada, abierta y justa depende de ello.<\/span><\/p>\n

         <\/p>\n

        Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/h5>\n

         <\/p>\n

        Lea m\u00e1s sobre Ciberseguridad en;<\/h6>\n