Los expertos en seguridad informática han descubierto dos grandes fallas en los microprocesadores dentro de casi todas las computadoras del mundo.
Ambos fallos, llamados Meltdown y Spectre, podrían permitir que los ciberatacantes roben todos el contenido de la memoria de las computadoras, incluyendo de los dispositivos móviles, computadoras personales o servidores que se ejecutan en las llamadas redes informáticas en la nube.
No hay una solución sencilla para Spectre, que podría requerir un nuevo diseño en los procesadores, de acuerdo con investigadores. En cuanto a Meltdown, la reparación de software necesaria para solucionar el problema podría lentificar las computadoras hasta un 30 por ciento, una situación terrible para la gente acostumbrada a las descargas veloces de sus servicios digitales favoritos.
“Lo que sucede en realidad con estas fallas es distinto y lo que se hace para solucionarlas es diferente”, dijo Paul Kocher, un investigador que fue miembro integral de un equipo de investigadores en grandes empresas tecnológicas, como Google y Rambus, así como en la academia, y quien descubrió las fallas.
Meltdown es un problema particular para los servicios informáticos en la nube de empresas como Amazon, Google y Microsoft. Para el miércoles por la noche, Google y Microsoft dijeron que habían actualizado sus sistemas con tal de lidiar con la falla.
Amazon les dijo a los clientes de su servicio en la nube Amazon Web Services que la vulnerabilidad “ha existido durante más de veinte años en la arquitectura de los procesadores modernos”. Mencionó que ya había protegido a casi todos los servicios de Amazon Web Services que utilizan la versión adaptada del sistema operativo Linux de Amazon, y el miércoles señaló que aplicarían la reparación de Microsoft.
Para aprovechar la falla Meltdown, los hackers podrían rentar espacio en un servicio en la nube, al igual que cualquier otro cliente del negocio. Una vez que estuvieran en el servicio, la falla les permitiría extraer información, como contraseñas de otros clientes.
Esta es una gran amenaza a la manera en que operan los sistemas informáticos en la nube. Los servicios en la nube a menudo comparten máquinas entre varios clientes y es poco común, por ejemplo, que un solo servidor se dedique a un solo cliente. Aunque las herramientas y protocolos de seguridad tienen como propósito separar los datos de los clientes, las fallas descubiertas hace poco en los chips permitirían que los delincuentes burlen estas protecciones.
Las computadoras personales utilizadas por los consumidores también son vulnerables, pero los ciberatacantes primero tendrían que encontrar una manera de ejecutar software en una computadora personal antes de tener acceso a la información que esté en otras partes de la máquina. Hay varias maneras en que eso podría pasar: los atacantes podrían engañar a los consumidores para que descarguen software desde el vínculo en un correo electrónico, desde una tienda de aplicaciones o visitando un sitio infectado.
De acuerdo con los investigadores, la falla Meltdown afecta virtualmente a todos los microprocesadores fabricados por Intel, que hace los chips utilizados en más del 90 por ciento de los servidores informáticos que respaldan el internet y las operaciones comerciales privadas.
Los clientes de Microsoft, el fabricante del sistema operativo Windows, deberán instalar una actualización de la empresa para solucionar el problema. La comunidad internacional de codificadores que vigila el sistema operativo de código abierto Linux —que gestiona cerca del 30 por ciento de los servidores informáticos en todo el mundo— ya ha publicado un parche para el sistema operativo. Apple creó una solución parcial para el problema y se espera que haya una actualización adicional.
Los parches de software podrían ralentizar el desempeño de máquinas afectadas entre un 20 y un 30 por ciento, dijo Andres Freund, un desarrollador independiente de software que ha probado el nuevo código Linux. Los investigadores que descubrieron las fallas expresaron preocupaciones similares.
Esto podría convertirse en un problema significativo para cualquier negocio que maneje sitios web o utilice otros tipos de software desde sistemas en la nube.
No hay evidencia de que los ciberatacantes hayan aprovechado este punto débil, por lo menos no todavía. Sin embargo, una vez que un problema de seguridad se haga público, los usuarios de computadoras se arriesgarán mucho si no instalan una reparación para solucionar el problema. Un ataque de cibersecuestro (WannaCry) que afectó computadoras en todo el mundo el año pasado aprovechó las máquinas que no habían recibido un parche para solucionar una falla en el software de Windows.
La otra falla, Spectre, afecta a la mayoría de los procesadores que se utilizan actualmente, aunque los investigadores creen que esta falla es más difícil de explotar. No hay solución conocida para el problema, y no está claro qué harán los fabricantes de chips como Intel para abordar la falla.
No es claro aún qué consecuencias tendrá esta revelación en el negocio de Intel, y el miércoles, el gigante de Silicon Valley le restó importancia.
“Intel y otras empresas de tecnología se han enterado de las nuevas investigaciones de seguridad que describen métodos de análisis de software que, cuando se utilizan malintencionadamente, tienen el potencial de reunir de forma indebida datos confidenciales de los dispositivos informáticos que operan según su diseño”, declaró la empresa. “Intel cree que estas fallas no tienen el potencial de corromper, modificar ni borrar datos”.
Para solucionar la falla Spectre se necesitará más que un parche de software.
La falla Meltdown es específica de Intel, pero Spectre es una falla en el diseño que han utilizado muchos fabricantes de procesadores durante décadas. Afecta virtualmente a todos los microprocesadores del mercado, incluyendo los chips que hace AMD y que comparten el diseño de Intel, así como los muchos chips basados en diseños de ARM en el Reino Unido.
Spectre es un problema en la manera fundamental en que los procesadores se diseñan, y la amenaza de Spectre “vivirá con nosotros durante décadas”, dijo Kocher, el presidente y científico en jefe de Cryptography Research, una división de Rambus.
“Mientras que Meltdown es una crisis urgente, Spectre afecta virtualmente todos los microprocesadores”, dijo Kocher. El énfasis en la velocidad cuando se diseñan nuevos chips los ha vuelto vulnerables a los problemas de seguridad, explicó.
“De verdad nos hemos equivocado”, dijo Kocher. “Ha habido un deseo de la industria de obtener tanta velocidad como sea posible, pero al mismo tiempo tener seguridad. Spectre demuestra que no se pueden tener ambas características”.
Puede que no haya una solución disponible para Spectre sino hasta que llegue al mercado una nueva generación de chips.
“Este será un problema purulento a lo largo de los ciclos de vida del hardware. No cambiará mañana ni pasado mañana”, dijo Kocher. “Tomará un rato”.