Tanto teléfonos inteligentes, como ordenadores y computación en la nube, se ven afectados por los principales fallos de seguridad encontrados en Intel y otros procesadores, y la corrección de dichos fallos podría ralentizar el funcionamiento de los dispositivos.
Se han encontrado serios fallos de seguridad que podrían permitir a los atacantes robar datos confidenciales, incluidas contraseñas e información bancaria, en procesadores diseñados por Intel, AMD y ARM.
Los erroes, llamados Meltdown y Spectre, fueron descubiertas por investigadores de seguridad en el Proyecto Zero de Google, junto con investigadores académicos y de la industria de varios países. Combinados, afectan prácticamente a todas las computadoras modernas, incluidos los teléfonos inteligentes, tabletas y computadoras de todos los proveedores, afectando casi cualquier sistema operativo.
Meltdown es “probablemente uno de los peores errores de la CPU que se haya encontrado”, dijo Daniel Gruss, uno de los investigadores de la Universidad Tecnológica de Graz que descubrió la falla.
Se cree que Meltdown afecta principalmente a los procesadores Intel fabricados desde 1995, excluyendo los chips de servidor Itanium y los procesadores Atom de la compañía antes de 2013. Podría permitir a los piratas informáticos eludir la barrera de hardware entre las aplicaciones ejecutadas por los usuarios y la memoria central de la computadora. Meltdown, por lo tanto, requiere un cambio en la forma en que el sistema operativo maneja la memoria para corregirlo, por lo que se estima en dichos ajustes podrían afectar la velocidad de la máquina en ciertas tareas hasta en un 30%.
La falla de Specter afecta a la mayoría de los procesadores modernos hechos por una variedad de fabricantes, incluyendo Intel, AMD y aquellos diseñados por , y potencialmente permite a los piratas informáticos engañar a las aplicaciones que de otro modo estarían libres de errores para que abandonen la información secreta. Spectre es más difícil de acceder para los piratas informáticos, pero también es más difícil de solucionar y sería un problema mayor a largo plazo, según Gruss.
Intel y ARM insistieron en que el problema no era un defecto de diseño, aunque requerirá que los usuarios descarguen un parche y actualicen su sistema operativo para solucionarlo.
“Intel comenzó a proporcionar actualizaciones de software y firmware para mitigar estos errores”, dijo Intel en un comunicado, negando que las correcciones ralentizarían las computadoras en función de los chips de la compañía. “Cualquier impacto en el rendimiento depende de la carga de trabajo y, para el usuario promedio de la computadora, no debe ser significativo y se mitigará con el tiempo”.
Google dijo que informó a las compañías afectadas sobre la falla de Specter el 1 de junio de 2017 y luego informó la falla de Meltdown antes del 28 de julio de 2017. Tanto Intel como Google dijeron que planeaban revelar detalles de las fallas el 9 de enero, cuando tuvieran más ajustes disponibles, pero que se vieron forzados a acelerar el comunicado después de que los primeros informes llevaran a que las acciones de Intel cayeran un 3,4% el miércoles.
Google y los investigadores de seguridad con los que trabajaron dijeron que no se sabía si los piratas informáticos ya habían explotado Meltdown o Spectre y que la detección de tales intrusiones sería muy difícil, ya que no dejaría rastros en los archivos de registro.
Dan Guido, director ejecutivo de la empresa de consultoría de ciberseguridad Trail of Bits, dijo que espera que los piratas informáticos desarrollen rápidamente código que puedan usar para lanzar ataques explotando las vulnerabilidades. Él dijo: “Las vulnerabilidades de estos errores se agregarán a los kits de herramientas estándares de los hackers”.
Los investigadores dijeron que Apple y Microsoft tenían parches listos para los usuarios de computadoras de escritorio afectadas por Meltdown, mientras que un parche también está disponible para Linux. Microsoft dijo que estaba en el proceso de parchear sus servicios en la nube y lanzó actualizaciones de seguridad el 3 de enero para los clientes de Windows.
Apple no hizo ningún comentario de inmediato, y Google dijo que los dispositivos Android que ejecutaban las últimas actualizaciones de seguridad estaban protegidos, incluidos sus propios dispositivos Nexus y Pixel, y que los usuarios de Chromebooks tendrían que instalar actualizaciones.
ARM dijo que los parches ya se habían compartido con los socios de las compañías, y que cree que “hay un riesgo casi cero para los productos de AMD en este momento”. Los servicios en la nube también se ven afectados por los problemas de seguridad.
Google actualizó sus servicios G Suite y en la nube, pero recalcó que es posible que se requiera alguna acción adicional del cliente para Compute Engine y algunos otros sistemas de Cloud Platform. Amazon dijo que todos menos un “pequeño porcentaje de un solo dígito” de sus sistemas Amazon Web Services EC2 ya estaban protegidos, pero que “los clientes también deben parchear sus sistemas operativos de instancia” para estar completamente protegidos.
No quedó inmediatamente claro si Intel enfrentaría alguna responsabilidad financiera significativa derivada de la falla reportada. “El problema actual de Intel, si es cierto, probablemente no requeriría reemplazo de CPU en nuestra opinión. Sin embargo, la situación es fluida “, dijo Hans Mosesmann de Rosenblatt Securities en Nueva York en una nota, agregando que podría dañar la reputación de la compañía.