Malware en la Snap Store: una amenaza persistente que pone en duda la seguridad de Canonical

enero 21, 2026 · 12,345 vistas

La Snap Store, el repositorio oficial de aplicaciones de Canonical, vuelve a situarse en el centro del debate por motivos de seguridad. Un nuevo informe revela que una campaña de malware no solo sigue activa, sino que ha evolucionado con técnicas más sofisticadas, lo que reabre la discusión sobre la eficacia de los controles y el modelo de confianza de esta plataforma.

La advertencia proviene de Alan Pope, exingeniero de Canonical y una figura ampliamente reconocida dentro de la comunidad del Software Libre. Pope es, además, el creador de SnapScope, una herramienta diseñada para analizar paquetes Snap en busca de vulnerabilidades conocidas. No es la primera vez que alerta sobre problemas en la Snap Store, y sus observaciones recientes resultan especialmente preocupantes.

Una campaña que no es nueva, pero sí más peligrosa

Desde hace tiempo, la Snap Store ha sido objetivo de actores maliciosos que intentan distribuir aplicaciones fraudulentas o directamente maliciosas. Aunque Canonical cuenta con filtros automáticos para detectar este tipo de amenazas, el propio Pope señala que una parte significativa de los intentos logra esquivar estos mecanismos y llegar a los usuarios.

Según la documentación recopilada desde principios de 2024, han aparecido de forma recurrente snaps que se hacen pasar por monederos de criptomonedas populares como Exodus, Trust Wallet o Ledger. El objetivo es claro: engañar al usuario para que introduzca su frase de recuperación y vaciar sus fondos. En al menos uno de los casos analizados, el robo confirmado alcanzó los 490.000 dólares.

Cómo los atacantes burlan los controles

Los métodos empleados no se limitan a subir aplicaciones falsas de forma directa. Muchos atacantes evitan los filtros automáticos modificando ligeramente los nombres de las apps, utilizando caracteres Unicode visualmente similares o recurriendo a técnicas de bait-and-switch: primero publican una aplicación aparentemente legítima y, tras ganar visibilidad o descargas, introducen código malicioso mediante una actualización.

Canonical anunció en su momento una revisión manual para el registro de nuevos nombres de snaps, pero esta medida no parece suficiente frente a una táctica más reciente y difícil de detectar.

El nuevo vector de ataque: dominios caducados

El aspecto más alarmante del informe es el cambio de estrategia por parte de los atacantes. Ahora están registrando dominios caducados que pertenecieron a desarrolladores legítimos de aplicaciones Snap. Al recuperar el control de estos dominios, pueden secuestrar cuentas asociadas a la Snap Store y publicar actualizaciones maliciosas de aplicaciones que, hasta ese momento, eran completamente confiables.

En palabras de Pope, se trata de una “escalada significativa” del problema, ya que no hablamos solo de aplicaciones falsas, sino de la corrupción de software que los usuarios ya tienen instalado y en el que confían.

Un problema estructural del modelo de tienda

El informe subraya que este no es un caso aislado. La combinación de una tienda centralizada, procesos de verificación altamente automatizados y una fuerte dependencia de factores externos —como la propiedad de dominios— crea un entorno propicio para abusos sistemáticos.

A diferencia de los repositorios tradicionales de muchas distribuciones Linux, donde el mantenimiento y la supervisión suelen estar más distribuidos, en la Snap Store el control de un dominio histórico puede ser suficiente para tomar el control de proyectos abandonados o poco mantenidos, sin que exista una intervención humana temprana que lo detecte.

El riesgo real para los usuarios

El impacto va más allá de los snaps concretos que se detectan y eliminan, un proceso que en ocasiones puede tardar días. Mientras tanto, siguen apareciendo nuevas aplicaciones comprometidas. El verdadero problema surge cuando una aplicación conocida y previamente legítima publica una actualización maliciosa sin ningún aviso visible para el usuario.

Esto rompe el modelo de confianza implícito: ya no se trata solo de evitar instalar software desconocido, sino de asumir que incluso una aplicación instalada hace meses y olvidada puede convertirse en un vector de ataque tras una actualización automática.

¿Qué debería cambiar?

La solución pasa, inevitablemente, por más control y supervisión humana. La Snap Store es un servicio centralizado gestionado por Canonical, algo que históricamente se ha defendido como una ventaja en términos de seguridad. Sin embargo, si ese control no es suficiente para prevenir abusos graves, la dependencia del proveedor pierde parte de su sentido.

No es la primera vez que la Snap Store enfrenta incidentes de seguridad. En el pasado, Canonical llegó a promover la idea de “confiar en el autor, no en la aplicación”, una postura que hoy se muestra claramente insuficiente cuando las cuentas de autores legítimos pueden ser comprometidas.

El usuario, por supuesto, tiene responsabilidad sobre el software que instala. Pero cuando una plataforma gestionada falla de forma repetida en proteger su ecosistema, la pregunta es inevitable: ¿dónde termina la responsabilidad del usuario y dónde empieza la del proveedor?