-
El 21 de abril fue revelada una puerta trasera en una biblioteca para desarrolladores de XRPL.
-
Todd aseguró en aquel momento que un ataque de ese tipo tendría un costo económico nulo.
El 21 de abril de 2025, la firma de ciberseguridad Aikido Security detectó una vulnerabilidad crítica en el paquete NPM, una biblioteca para desarrolladores de aplicaciones de la red creada por Ripple, XRP Ledger (XRPL).
Este punto de fallo, reportado por CriptoNoticias, permitiría a atacantes acceder a claves privadas, expone una debilidad estructural que, sorprendentemente, ya había sido advertida una década atrás por Peter Todd, un reconocido desarrollador de software de Bitcoin.
En mayo de 2015, Todd analizó los riesgos de la red XRPL y señaló que la probabilidad de un ataque de este tipo era «alta», un pronóstico que hoy se confirma.
Una advertencia temprana ignorada
Todd, conocido por su trabajo en Bitcoin Core y proyectos como OpenTimestamps, describió que un atacante podría insertar una puerta trasera, conocida en inglés como backdoor, en implementaciones ampliamente utilizadas del software de Ripple, como por ejemplo el servidor ‘rippled node software’.
Este ataque podría ser ejecutado tanto por un miembro interno de Ripple Labs como por un externo que comprometiera el código fuente o binario alojado en plataformas como GitHub. Según Todd, el costo económico de este ataque era nulo y su alcance era amplio, con una duración potencial de semanas y una probabilidad alta de éxito.
Una puerta trasera es un mecanismo oculto en un software que permite a un atacante acceder a datos sensibles, como claves privadas, que en el caso de las criptomonedas controlan los fondos de los usuarios. El paquete NPM de XRPL, donde se detectó el fallo reciente, es una biblioteca que los desarrolladores usan para crear aplicaciones en esta red, lo que amplifica el impacto de la vulnerabilidad.
Factores de riesgo señalados por Todd
En su análisis de 2015, Todd identificó dos debilidades estructurales en la gestión de software de Ripple Labs. Primero, señaló que todo el código de la red era de código abierto, lo que, aunque fomenta la transparencia, también facilita que terceros malintencionados lo estudien y exploten.
Además, Ripple Labs dependía de GitHub, una plataforma de desarrollo colaborativo, para alojar su código. Aunque GitHub es confiable, Todd advirtió que confiar en un tercero para la distribución de software introduce riesgos, especialmente si no se implementan firmas criptográficas para verificar la autenticidad del código como PGP (acrónimo en inglés de «privacidad bastante buena»), un software y un estándar de cifrado para proteger la confidencialidad y autenticidad de datos digitales.
En última instancia, otro punto crítico indicado por el desarrollador bitcoiner fue la falta de un mecanismo seguro para que los usuarios descargaran el software. Todd destacó que, aunque los binarios estaban disponibles, Ripple Labs no ofrecía una forma segura de verificar su integridad.
Por ejemplo, los paquetes de Ubuntu, un sistema operativo popular, se distribuían a través de un repositorio HTTP inseguro, sin firmas que garantizaran su autenticidad. Esto abría la puerta a ataques donde un atacante podía modificar el software durante la descarga.
Posteriormente, el 22 de abril, desde su cuenta de la red social X, la Fundación XRPL, una organización que se ocupa del desarrollo de la red creada por Ripple, publicó la actualización de xrpl.js versión 4.2.5, una biblioteca de JavaScript para interactuar con el XRP Ledger, que corregiría la vulnerabilidad antes descripta.
¿Cómo Bitcoin Core minimiza ese tipo vulnerabilidades?
Bitcoin Core, como el cliente de referencia para Bitcoin, es un proyecto de código abierto que sí utiliza firmas PGP para garantizar la integridad y autenticidad de sus versiones de software.
Cada lanzamiento oficial (por ejemplo, Bitcoin Core v29.0) está firmado por los mantenedores principales con sus claves PGP, lo que permite a los usuarios verificar que el código descargado no ha sido alterado. Esto aborda directamente el problema señalado por Todd en Ripple, donde la falta de firmas PGP facilitó la distribución de código malicioso.
En adición, Bitcoin Core cuenta con decenas de colaboradores principales (mantenedores y revisores clave) y cientos de colaboradores secundarios que revisan el código en GitHub. Este modelo de desarrollo abierto asegura que múltiples ojos examinen cada cambio propuesto, reduciendo la probabilidad de que vulnerabilidades pasen desapercibidas.
