· Original en inglés · Artículo

La seguridad de la memoria como imperativo moral ante la 'vulnpocalipsis'

Fuentes: Memory safety is a matter of life and death
Imagen generada por IA con el prompt: Editorial digital illustration of a glowing red memory chip with cracks spreading across its surface, a stylized heart pulse line weaving through the circuit traces, dark blue gradient background, dramatic lighting
Imagen generada con IA

Un especialista en seguridad publica un ensayo en el que sostiene que la seguridad de la memoria en el software dejará de ser un debate técnico para convertirse en una cuestión de vida o muerte, ante la inminente llegada de agentes de inteligencia artificial capaces de detectar vulnerabilidades de forma masiva. El texto arranca con el asesinato del periodista saudí Jamal Khashoggi en 2018 en el consulado de Arabia Saudí en Estambul, precedido por el pirateo del teléfono de su prometida, para ilustrar que los desbordamientos de búfer y otros errores de programación tienen víctimas mortales reales.

El autor, que trabaja en un equipo de seguridad con acceso a datos internos de Google y otras empresas, asegura que la llamada 'vulnpocalipsis' —el uso generalizado de modelos agénticos de búsqueda de errores— se materializará este verano. Cuando eso ocurra, gran parte del software de código abierto escrito en lenguajes no seguros para la memoria (C y C++) quedará expuesto a exploits catastróficos, algunos de los cuales se emplearán para robar identidades, cometer ciberdelitos o, directamente, matar personas.

Frente a ese escenario, el artículo defiende que migrar a lenguajes memory-safe es un imperativo moral, ya que estas tecnologías previenen alrededor del 70% de las vulnerabilidades, según estimaciones habituales del sector. Reconoce la existencia de alternativas como Carbon, Go o Java, pero argumenta que Rust es la única opción que ya está en producción, es memory-safe y no impone penalización de rendimiento frente a C o C++.

El autor aprovecha para reconocer el trabajo de la comunidad Rust y sus lazos personales, pero lanza un mensaje contundente: la diversión y la elegancia del lenguaje deben subordinarse a un objetivo mayor, porque 'si Rust no tiene éxito, algunas personas morirán'. Pide a la comunidad que asuma decisiones difíciles, priorice casos de uso y apueste por el progreso aunque exija renunciar a viejas disputas, desde la interoperabilidad con C++ hasta la auditabilidad.

El texto cierra con ejemplos adicionales que vinculan ciberataques con muertes, como el ransomware WannaCry de 2017 y el ataque a Synnovis de 2024, y sitúa el coste económico anual de la ciberdelincuencia entre 100.000 y 1.000 millones de dólares.