Un fallo de diseño que deja abierto un "agujero" en la seguridad del 90 por ciento de las computadoras existentes en el planeta ha puesto en alerta a usuarios e informáticos en el mundo entero. El mayor fabricante de chips, Intel, así como desarrolladores de software y empresas tecnológicas anunciaron "importantes avances" contra el agujero de seguridad detectado en los microprocesadores. Pero, contra el tono optimista de Intel, muchos expertos creen que es dudoso que el "agujero" se vaya a cerrar pronto, todo lo contrario. "Todos los dispositivos con Wi Fi son susceptibles" de ser atacados, aseguró un experto a la BBC. Incluso algunos expertos consideran que este tipo de ataque sólo se podrá evitar cambiando los microprocesadores.
Intel ya publicó actualizaciones para la mayor parte de sus microprocesadores suministrados en los últimos cinco años, fecha que da idea de la enorme escala del peligro y del fallo de diseño encontrado. Para fines de la próxima semana "el 90 por ciento de esos chips serán seguros", prometen en Intel. Pero habrá que esperar para saber si los microprocesadores estarán entonces protegidos de uno de los posibles ataques, el llamado "Spectre".
Muchos expertos consideran que todavía será necesario mucho trabajo y que ese tipo de ataque sólo se podrá evitar cambiando los microprocesadores.
Por su parte, Amazon aseguró la noche del jueves que todas las áreas de su servidor virtual (EC2) que funcionan con Linux o Windows están protegidas. En la mayor parte de los casos no se detectaron problemas derivados del fallo. El fallo de seguridad, que afecta a cientos o miles de millones de dispositivos de distintos fabricantes, permite el acceso a contraseñas, claves criptográficas y datos de programas.
El talón de Aquiles
El agujero se da en un proceso por el cual los chips del microprocesador acceden con antelación a determinada información que es posible que se necesite más tarde, para evitar retrasos. Esta técnica conocida como "ejecución especulativa" se utiliza desde hace años en el sector.
Los expertos que descubrieron el problema describieron dos posibles ataques por este fallo de seguridad. Al primero lo llamaron "Meltdown" y se produciría por la anulación de un mecanismo de separación entre los programas y el sistema operativo de la computadora. Un software malicioso podría tener acceso a la memoria y leer datos de otros programas o del sistema operativo.
El segundo ataque, llamado "Spectre", rompería la protección que existe entre las aplicaciones, lo que permitiría a los atacantes manipular otros programas para exponer sus datos más delicados. Este es más difícil de llevar a cabo, pero es también más complicado de evitar.
El director ejecutivo de Intel, Brian Krzanich, criticó el tratamiento que están dando algunos medios al asunto, que calificó de exagerado. "No es un problema que no pueda solucionarse", dijo a la web "c'net". Según Krzanich, se está demostrando que los parches desarrollados funcionan. El actual agujero de seguridad el problema es totalmente diferente al descubierto en 1994 en los procesadores Pentium de Intel, señaló. Entonces, los directivos de Intel minimizaron un error descubierto en la denominada "unidad de coma flotante" de los procesadores. El programa de recambio que finalmente tuvo que lanzarse a nivel mundial costó 500 millones de dólares a la empresa.
Apple, por su parte, reconoció que todas sus computadoras Mac y todos sus dispositivos móviles que utilizan el sistema operativo iOS, como iPhones y iPads, están afectados por el agujero de seguridad. En un comunicado de la noche del jueves, la empresa explica que por el momento no se reportó ningún problema para los clientes. Para evitarlos, recomienda que sólo se descargue software de fuentes fiables.
Según la compañía, ya se desarrollaron parches para los programas operativos iOS 11.2, macOS 10.13.2, y tvOS 11.2 contra "Meltdown", uno de los ataques que se puede sufrir y que no afecta al Apple Watch. En los próximos días Apple también lanzará parches para su navegador Safari contra el "Spectre". En el caso de "Spectre", la empresa dijo que la vulnerabilidad afecta a la memoria kernel —el núcleo o software del sistema operativo— y que es "extremadamente difícil de aprovechar" por los hackers. En cuanto a Meltdown, la empresa de Cupertino explicó que esta falla puede usarse para leer la memoria del software y que tiene más posibilidades de ser explotada.
Además, tanto Apple como Microsoft y Google confirmaron que la mayoría de sus clientes no percibirán apenas cambios con las actualizaciones. En un primer momento se apuntó que esas actualizaciones podrían ralentizar los dispositivos hasta un 30 por ciento, aunque Intel afirmó que la ralentización sería como máximo de un 2 por ciento.
Según la BBC, los reportes iniciales sugerían que Meltdown afectaba solo a los chips de Intel, pero luego se supo que Spectre ha sido descubierta también en chips de Advanced Micro Devices (AMD) y ARM Holdings. Según la publicación que hizo pública la falla de Intel, The Register, esta afecta a los microprocesadores de Intel fabricados en la última década. Bryan Ma, analista de la consultoría tecnológica IDC, asegura que los centros de datos y dispositivos conectados a la "nube "también están en riesgo.
El Centro de Ciberseguridad Nacional de Reino Unido afirmó que hasta el momento no hay evidencia de que la vulnerabilidad haya sido explotada. Pero ahora que se ha hecho pública, los errores pueden y aprovechados. La BBC averiguó que en el sector tecnológico se conocía el problema desde hace al menos seis meses, y que todo el mundo relacionado había firmado acuerdos de confidencialidad. Se usó este tiempo para contrarrestar el problema.