"El software libre no es solo codigo. Es una decision politica."
¿Cuantos han leido TODO el codigo de sus dependencias?
¿Confias en codigo que nunca has visto?
¿Tu app es tuya... o de tus dependencias?
¿Cuantos de aqui estudian Seguridad y cuantos Ingenieria de Software?
"Si no tienes respuesta a las primeras 3 preguntas, esta charla es para ti."
Software Libre — Richard Stallman, 1983: la libertad como principio etico. El codigo es un bien comun.
Open Source — 1998: mismo codigo, lenguaje mas aceptable para empresas y corporaciones.
La diferencia no es tecnica. Es filosofica.
Uno es un movimiento etico. El otro es un modelo de desarrollo.
"Open source no es un movimiento etico... es una estrategia de desarrollo que las empresas aprendieron a explotar."
Pero solo hablaremos desde que estoy en la Industria y el Ecosistema
2010: confianza ciega
2015: dependencia masiva
2020: ataques dirigidos
2025: automatizacion del ataque
"Nadie nota cuando algo se rompe lentamente."
La idea dominante de la epoca:
"Si es open source, alguien ya lo reviso"o "Si es open source, es gratis y solo eso importa"
Realidad: nadie lo estaba revisando sistematicamente.
"Si es open source, alguien ya lo reviso. El problema: ese alguien no existia."
OpenSSL cifraba la mitad del internet. En 2012, un voluntario introdujo un bug de 50 lineas.
Con una peticion de 64 bytes podias extraer 64KB de memoria del servidor: contraseñas, llaves privadas, tokens de sesion activos.
Cuando se descubrio en 2014, habia estado activo en produccion por dos años en millones de servidores.
La libreria que protegia el internet: mantenida por voluntarios, sin presupuesto, sin auditorias.
"El problema no era el bug… era que nadie estaba mirando."
Con npm y los ecosistemas modernos:
"Construimos imperios sobre cimientos que nadie eligio con cuidado."
Marzo 2016. Un desarrollador recibio una demanda legal y decidio borrar todos sus paquetes de npm en protesta.
Uno de ellos era left-pad: 11 lineas para rellenar strings con espacios a la izquierda.
En minutos: Babel, React, cientos de proyectos de produccion fallando en todo el mundo. Los equipos no podian ni hacer deploy.
Un solo desarrollador habia roto el ecosistema entero. Sin malicia. Solo borrando su codigo.
"Dependiamos criticamente de codigo trivial."
Esto abre la puerta a los ataques de supply chain que explotarian despues.
Usar npm es como construir una casa con piezas que encontraste en la calle... y esperar que ninguna explote.
"Cualquiera puede publicar. Y eso es exactamente el problema."
"El eslabon mas debil de la cadena no era el codigo. Era la persona."
2018. El maintainer de event-stream llevaba años manteniendo un paquete con millones de descargas semanales. Sin pago. Sin apoyo.
Alguien se ofreció a "ayudar". El maintainer, agotado, acepto y le transfirió el control del repositorio.
Semanas despues, el nuevo "colaborador" habia introducido malware en el paquete. Target especifico: wallets de Bitcoin de una app concreta.
Nadie reviso el codigo nuevo. El CI paso sin problema. El malware llego a produccion.
"No hackeas el codigo… hackeas a la persona."
Las empresas usan software libre pero no contribuyen.
Los maintainers trabajan gratis.
Esto genera:
"Las empresas tienen los beneficios. Los maintainers tienen el trabajo."
Amazon, Google y Microsoft construyen negocios de miles de millones sobre software mantenido por voluntarios. Extraen valor sin devolver de manera proporcional.
Las mismas corporaciones que mas se benefician del OSS son las que mas presionan por cambiar licencias cuando les conviene.
Y dentro del movimiento: debates sin resolver sobre etica, gobernanza y quien tiene el derecho de decidir el rumbo.
"Las reglas del juego las escriben quienes tienen el poder economico... no quienes escriben el codigo... Desafortunadamente"
Los atacantes dejan de apuntar al codigo directamente.
Apuntan a la cadena de suministro.
"El objetivo ya no es tu software… es tu pipeline."
UA-Parser-JS: malware en versiones oficiales, robo de credenciales
SolarWinds: no es OSS puro, pero valida el modelo — atacan la cadena de suministro, no el objetivo final
"No atacaron el software. Atacaron la cadena que lo entrega."
"Cuando nadie revisa, cualquiera puede colar cualquier cosa."
La IA recomienda librerias, a veces inexistentes o maliciosas.
Esto crea:
Bots que crean repos, hacen PRs y simulan contribuciones.
Se diluye la confianza en identidades humanas.
"La IA no creo el problema. Solo lo hizo mucho mas rapido."
Worms en npm que publican paquetes e infectan dependencias automaticamente.
Ya no necesitas hackers expertos para atacar el ecosistema.
Si hoy hicieras npm install en tu proyecto, hay una probabilidad real de que estes ejecutando codigo que nunca nadie reviso.
"El ataque ya no necesita un atacante humano."
Las empresas cambian las reglas del juego:
"Open source ya no siempre es open."
Nadie entiende el sistema completo. Las dependencias son demasiado profundas para auditarlas.
Proyectos criticos sin mantenimiento siguen instalandose como si nada, sin alertas claras.
Esto elimina cualquier posibilidad de auditoria o seguridad real.
"Lo que nadie entiende, nadie puede proteger."
Tier 1 — Criticos: Supply chain attacks, maintainers quemados. Pueden comprometer produccion hoy.
Tier 2 — Serios: IA/bots en el ecosistema, dependencias excesivas. Escalan rapido, difíciles de detectar.
Tier 3 — Estructurales: Cambios de licencia, complejidad, cultura de velocidad. Erosionan el ecosistema a largo plazo.
"No todo duele igual. Pero todo esta conectado."
"Estos no son bugs del ecosistema. Son features de como lo construimos."
No hay soluciones magicas.
Hay trade-offs y mejores practicas reales.
Cada problema tiene respuestas concretas a nivel individual, de equipo y de industria.
Nos unimos a XalapaCode para estar mas enterados y saber que hacer
"La pregunta correcta no es que tan roto esta. Es que vamos a hacer hoy."
Nivel individual: revisar que el repositorio este activo y tenga un maintainer real. Usar lockfiles. No usar latest a ciegas.
Nivel equipo: integrar herramientas SCA (Software Composition Analysis) en el CI. Ejemplos: Snyk, Dependabot.
Nivel avanzado: firmar dependencias y verificar integridad. Concepto clave: Sigstore.
"No confies en el codigo… verifica quien lo publico."
"Si no puedes explicarlo, no deberias mergearlo."
Nivel empresa/organización: pagar por el OSS que usas. Plataformas: Open Collective, GitHub Sponsors.
Nivel desarrollador: contribuir con docs, issues bien escritos, bug fixes pequenos.
Nivel estrategia: evitar dependencias con un solo maintainer y cero financiamiento.
"Si tu negocio depende de una libreria, deberias invertir en ella."
Reducir dependencias. Preferir librerias maduras con menos magia.
Practica concreta: "dependency budget". Ejemplo: maximo 10 dependencias externas por servicio critico.
Auditoria basica: leer al menos el entry point y los scripts de instalacion de cada dependencia critica.
"Cada dependencia es codigo que no controlas."
Revisar la licencia antes de adoptar cualquier dependencia critica: MIT, Apache 2.0, GPL son generalmente seguras. SSPL merece atencion especial.
Estrategia: evitar el lock-in abstrayendo dependencias criticas.
Ejemplo: si usas MongoDB, tener un plan B con PostgreSQL.
"No solo importas codigo… importas condiciones legales."
Preferir menos layers, menos frameworks innecesarios.
Regla practica: si no puedes explicarlo en 5 minutos, es demasiado complejo.
Documentacion interna obligatoria con diagramas simples.
"Si no puedes explicarlo en 5 minutos, es demasiado complejo para ser seguro."
Incorporar threat modeling basico desde el diseno.
Pipeline minimo no negociable:
Revisar dependencias antes de cada release importante.
"La seguridad no es un parche… es un proceso."
Revisar el historial y la actividad real de los contributors antes de darles acceso.
Nivel avanzado: usar firmas de commits con GPG para verificar identidad criptograficamente.
"Open source funciona con confianza… pero la confianza se puede falsificar."
No medir el exito en lineas de codigo escritas.
Medir estabilidad, incidentes prevenidos, deuda tecnica reducida.
"Ir rapido no sirve si rompes produccion."
"Cada decision tiene consecuencias. Algunas las pagamos hoy. Otras, las pagara alguien mas."
Llevamos más de 15 años instalando dependencias como si nada.
Confiando en codigo que nadie revisa, mantenido por personas que nadie paga, bajo licencias que cualquiera puede cambiar.
El problema no es el open source.
El problema somos nosotros como industria. Pero principalmente los grandes jugadores.
"La pregunta no es si el ecosistema tiene problemas. La pregunta es si nosotros vamos a cambiar como lo usamos."
"Que comiencen las preguntas"