← Radar
The Hacker News Seguridad

Un commit firmado y verificado en GitHub puede duplicarse con un hash distinto sin perder la marca de confianza

Una investigación de Carnegie Mellon muestra que un commit firmado y marcado como verificado en GitHub puede duplicarse con un hash distinto sin que la firma deje de ser válida. La industria asume que ese hash es un identificador único e inmutable, suficiente para bloquear código malicioso conocido. La investigación demuestra que esa defensa tiene un punto ciego.
8 de julio de 2026

La señal

Una investigación de Carnegie Mellon muestra que un commit firmado y marcado como “Verified” en GitHub puede duplicarse con un hash distinto sin que la firma deje de ser válida. Quien no tiene la llave privada de firma puede lograrlo.

El supuesto que se rompe

La industria del software asume que el hash de un commit firmado es un identificador único e inmutable: si se bloquea ese hash, se bloquea ese código. La investigación muestra que se puede generar una versión con el mismo contenido pero un hash distinto, y GitHub la sigue marcando como verificada.

Qué observar

Si los procesos de seguridad de la organización dependen de bloquear código malicioso por el hash exacto de un commit, esa defensa tiene un punto ciego. Vale la pena preguntar qué tan expuestas están las cadenas de suministro de software que confían en esa garantía.

Leer fuente original →