La nueva versión de Ubuntu, la 25.10 Questing Quokka, ya está aquí. Y aunque es una versión provisional antes de la 26.04 LTS, viene cargada de novedades muy interesantes, sobre todo en el ámbito de la seguridad. Esta versión sirve como banco de pruebas para las características que definirán la próxima LTS, marcando un antes y un después en la seguridad de Ubuntu.
Ubuntu 25.10: Preparando el terreno para la seguridad del futuro
Desde la reimplementación en Rust de herramientas fundamentales hasta el cifrado con soporte de hardware, pasando por la preparación para la criptografía post-cuántica y la computación confidencial, Ubuntu 25.10 impulsa la seguridad de Ubuntu hacia una nueva era. El objetivo es claro: construir una base más segura para la próxima década.
Seguridad de memoria como protagonista principal
Una de las mayores novedades es que Ubuntu 25.10 utiliza por defecto sudo-rs, una implementación de sudo en Rust. Este cambio es crucial, ya que aborda las vulnerabilidades de corrupción de memoria que históricamente han afectado al código crítico para la seguridad. Un ejemplo es la vulnerabilidad CVE-2021-3156 en sudo, que pasó desapercibida desde 2011 hasta 2021. El uso de Rust garantiza la seguridad de la memoria a nivel de compilador, previniendo este tipo de fallos.
De forma similar, ahora se incluye rust-coreutils como el proveedor predeterminado de utilidades como ls, cat y cp. Las implementaciones de GNU siguen estando disponibles, y los usuarios pueden cambiar entre ellas si lo necesitan. Existe una matriz de compatibilidad que documenta las diferencias de comportamiento, aunque la mayoría de los usuarios no deberían encontrar problemas. El rendimiento varía según la operación: la codificación base64 es notablemente más rápida, mientras que algunas operaciones muestran cambios mínimos.
Para aquellos que necesiten el sudo tradicional, está disponible como sudo.ws. Las configuraciones existentes de sudo funcionan sin modificaciones. Esta disponibilidad paralela permite realizar pruebas exhaustivas manteniendo una vía de escape.
Cifrado de disco completo respaldado por TPM
La implementación del cifrado de disco completo respaldado por TPM ha madurado considerablemente en esta versión, aunque sigue siendo experimental. Las nuevas capacidades incluyen:
- Soporte de frases de contraseña con interfaces de gestión adecuadas.
- Regeneración de claves de recuperación para una mejor gestión de claves.
- Mejor integración con las actualizaciones de firmware para evitar problemas de arranque.
Es importante tener en cuenta algunas consideraciones de compatibilidad. Esta característica es incompatible con el software de seguridad Absolute (anteriormente Computrace), por lo que los sistemas deben elegir uno u otro. Además, ciertas configuraciones de hardware requieren módulos de kernel específicos que pueden no estar disponibles en el kernel asegurado por TPM. Se recomienda a los usuarios que realicen pruebas exhaustivas con su hardware específico antes de considerar la implementación.
El objetivo es que esta funcionalidad esté lista para producción en Ubuntu 26.04 LTS. Las pruebas y la retroalimentación durante el ciclo 25.10 influirán directamente en la implementación de la LTS.
Network Time Security por defecto
Ubuntu 25.10 reemplaza systemd-timesyncd con Chrony como el demonio de tiempo predeterminado, configurado con Network Time Security (NTS) habilitado. Este cambio aborda un problema de seguridad de larga data: el NTP no autenticado ha sido vulnerable a la manipulación, lo que podría afectar la validación de certificados, los registros de auditoría y la coordinación de sistemas distribuidos.
NTS añade autenticación basada en TLS a la sincronización de tiempo, utilizando el puerto 4460/tcp para el intercambio de claves antes de la comunicación NTP estándar en 123/udp.
Preparándose para el apocalipsis cuántico
Ubuntu 25.10 incluye preparativos para las amenazas de la computación cuántica gracias a las últimas versiones que incluye para OpenSSH y OpenSSL. OpenSSH 10.0 ahora utiliza algoritmos híbridos post-cuánticos por defecto para el acuerdo de claves. No se requiere configuración, las conexiones SSH se benefician automáticamente de la resistencia cuántica manteniendo la compatibilidad con los sistemas que no admiten estos algoritmos.
OpenSSL 3.5.3 añade soporte para los algoritmos ML-KEM, ML-DSA y SLH-DSA. La configuración TLS predeterminada prefiere los grupos KEM híbridos post-cuánticos, equilibrando la seguridad futura con la compatibilidad actual.
Es importante tener en cuenta que OpenSSH 10.0 elimina por completo el soporte para DSA. Los sistemas que todavía utilizan claves DSA deberán migrar antes de poder conectarse a o desde sistemas Ubuntu 25.10.
Intel TDX y computación confidencial
Para aquellos que ejecutan cargas de trabajo sensibles en la nube, Ubuntu 25.10 incluye soporte nativo para las capacidades de host de Intel TDX (Trust Domain Extensions). Esta tecnología crea máquinas virtuales aisladas por hardware para la computación confidencial, perfectas para salas blancas de datos y cargas de trabajo de IA confidenciales. El kernel se envía con soporte de host Intel TDX listo para usar, preparando el escenario para que la computación confidencial se convierta en la corriente principal en la 26.04 LTS.
Seguridad a través de la modernización
Más allá de las características principales, hay un tema recurrente: la seguridad a través de la modernización:
- Django actualizado a 5.2 LTS con valores predeterminados de seguridad mejorados.
- Systemd v257.9 con características de seguridad mejoradas.
- Apache 2.4.64 con múltiples correcciones de seguridad.
- Toda la cadena de herramientas se ha reconstruido con GCC 15.2, lo que proporciona mejores comprobaciones de seguridad en tiempo de compilación.
Qué tener en cuenta
Algunas características de seguridad requieren una implementación cuidadosa:
- Los perfiles de AppArmor pueden afectar inesperadamente las operaciones en los contenedores LXD.
- FDE respaldado por TPM tiene requisitos de hardware específicos.
- El cambio a OpenSSH 10.0 elimina el soporte de DSA, lo que puede afectar a los sistemas heredados.
En resumen, las mejoras de seguridad y las medidas de endurecimiento entregadas en Ubuntu 25.10 continúan la evolución de Ubuntu hacia la entrega de la experiencia Linux más segura. Sientan las bases para Ubuntu 26.04 LTS, la próxima versión con soporte a largo plazo, donde estas tecnologías madurarán hasta convertirse en capacidades predeterminadas y totalmente compatibles. Además, las actualizaciones de seguridad, el cumplimiento, el endurecimiento y el kernel livepatching para 26.04 LTS estarán cubiertos por hasta 12 años a través de Ubuntu Pro, extendiendo el historial de Ubuntu como una base diseñada de forma segura para el desarrollo y la implementación de cargas de trabajo Linux modernas.
Siempre estamos refinando la experiencia de seguridad de Ubuntu, y su opinión importa. Para compartir comentarios o unirse a la conversación, visite la página de Discourse de Ubuntu. Si desea discutir sus necesidades de implementación, comuníquese a través del formulario de contacto.
Manténgase seguro y feliz actualización.