Ian King para Bloomberg
Las compañías de software y los fabricantes de chips más grandes del mundo, incluidas Intel y Microsoft, están enfrentando una vulnerabilidad que deja a un gran número de ordenadores y móviles inteligentes susceptibles a la piratería y la desaceleración del rendimiento.
Los investigadores de Google descubrieron recientemente que una característica, presente en casi todos los miles de millones de procesadores que ejecutan ordenadores y móviles en todo el mundo, podría dar a los piratas informáticos el acceso no autorizado a datos confidenciales y cuya solución podría afectar el rendimiento del dispositivo.
Las noticias sobre la debilidad, encontradas el año pasado e informadas el martes por el blog de tecnología The Register, pesaron sobre las acciones de Intel, el mayor fabricante de semiconductores, mientras impulsan a rivales como Advanced Micro Devices. El silencio de Intel durante la mayor parte del miércoles se sumó a la inquietud de los inversores.
Al final del día, Intel, Microsoft, Google y otros líderes tecnológicos emitieron declaraciones destinadas a tranquilizar a los clientes y accionistas. Intel informó que sus chips no fueron los únicos afectados y pronosticó que no tendría ningún efecto material en su negocio, mientras que Microsoft, el mayor fabricante de software, dijo que lanzó una actualización de seguridad para proteger a los usuarios.
Google, que aseguró que el problema afecta a los chips de Intel, AMD y ARM Holdings, señaló que actualizó la mayoría de sus sistemas y productos con protecciones contra ataques. Amazon.com, cuyo servicio Amazon Web Services es el número uno en computación en la nube, comentó que la mayoría de sus servidores afectados ya han sido asegurados.
Durante décadas, los hackers han explotado los agujeros de seguridad en el software, por ejemplo, al inducir a usuarios descuidados y desprevenidos a abrir archivos adjuntos que desatan algún virus u otro malware en un dispositivo o red.
El problema afecta a los chips de Intel, AMD y ARM Holdings
La debilidad descubierta por Google, por el contrario, subraya el daño potencial causado por las vulnerabilidades en el hardware. Los componentes complejos, como los microprocesadores, pueden ser más difíciles de reparar y se requiere de más tiempo para diseñar desde cero si tienen fallas.
“Es un problema grande y es muy grave. Esto le da al atacante capacidades que pasan por alto los controles de seguridad comunes de los sistemas operativos en los que hemos confiado durante 20 años”, explicó Jeff Pollard, analista de Forrester Research. “Hay un gran impacto tanto en el consumidor como en la empresa”.
Google informó de estos problemas en privado a Intel, ARM y AMD el 1 de junio del año pasado, para darles tiempo para encontrar soluciones antes de que las vulnerabilidades se hicieran públicas. Mientras las compañías trabajaban en arreglos, las mismas debilidades fueron descubiertas de forma independiente por un equipo de investigadores afiliados a varias instituciones académicas y firmas de seguridad informática.
En documentos de investigación publicados en línea el miércoles, el grupo identificó un posible ataque cibernético que podría explotar estas fragilidades. Llamándolo “Colapso”, los investigadores dijeron que en sus pruebas fueron los chips de Intel los que resultaron afectados más seriamente, pero la falla también podría usarse contra procesadores ARM y AMD.
Los científicos dicen que descubrieron otro ataque potencial al que denominaron “Espectro”, que sería difícil de conseguir pero también más de solucionar. En un artículo al respecto, dijeron que los fabricantes de chips habían priorizado por mucho tiempo la velocidad de procesamiento por sobre la seguridad.
Según los investigadores, “a medida que aumentan los costos de la inseguridad, estas opciones de diseño deben revisarse, y en muchos casos se requerirán implementaciones alternativas optimizadas para la seguridad”.
Las acciones de Intel permanecieron bajo presión incluso después de su declaración. Las acciones de la compañía cayeron 2,2% a 44,28 dólares (36,70 euros) en las primeras operaciones en Nueva York. “Luchamos para creer que Intel no enfrentará algún tipo de responsabilidad financiera”, escribieron en una nota los analistas de Sanford C. Bernstein.
Los servicios de computación en la nube más grandes de China tambalearon este jueves mientras se intentaba abordar el problema. El líder de la industria nacional, Alibaba Group Holding, mencionó que planeaba actualizar sus sistemas desde la 1 a.m. del 12 de enero, para manejar posibles problemas de vulnerabilidad en los chips.
Según los expertos en seguridad, aplicar las actualizaciones del sistema operativo diseñadas para remediar la falla podría obstaculizar el rendimiento. The Register advirtió que la ralentización podría ser de hasta 30%, algo que Intel apuntó que ocurriría sólo en circunstancias extremadamente inusuales.
The Register advirtió que la ralentización podría ser de hasta 30%
Las ralentizaciones del ordenador variarán en función de la tarea que se realice y para el usuario promedio “no deberían ser significativas y se mitigarán con el tiempo”, aseguró Intel. Agregó que ha comenzado a proporcionar software para ayudar a limitar posibles ataques.
Los esfuerzos de Intel para minimizar el impacto dieron como resultado una guerra de palabras con AMD. Intel anunció que está trabajando con los fabricantes de chips, incluidos AMD y ARM Holdings, así como con los creadores de sistemas operativos para desarrollar un enfoque que ayude a resolver el problema. AMD respondió rápidamente e indicó que “existe un riesgo casi cero” para sus procesadores, debido a las diferencias en la forma en que están diseñados y construidos.
La vulnerabilidad no solo afecta a las PC. Todos los microprocesadores modernos, incluidos los que funcionan con móviles inteligentes, están diseñados para adivinar qué funciones probablemente se les solicitará ejecutar a continuación. Al hacer cola con posibles ejecuciones por adelantado, pueden procesar datos y ejecutar programas mucho más rápido.
El problema en este caso es que esta carga predictiva de instrucciones permite el acceso a datos que normalmente están acordonados de forma segura, expresó el vicepresidente de Intel, Stephen Smith, en una conferencia telefónica. Esto significa, en teoría, que el código malicioso podría encontrar una forma de acceder a la información que, de otro modo, estaría fuera de su alcance, como las contraseñas.
“Las técnicas utilizadas para acelerar los procesadores son comunes en la industria”, puntualizo Ian Batten, profesor de ciencias de la computación en la Universidad de Birmingham en el Reino Unido, que se especializa en seguridad informática. La solución que se propone definitivamente dará como resultado tiempos de operación más lentos, pero los informes de desaceleraciones del 25 al 30% son escenarios del “peor de los casos”.
El director ejecutivo de Intel, Brian Krzanich, dijo a CNBC que un investigador de Google le informó a su compañía sobre el problema “hace un par de meses”. Si bien muchos de los productos del gigante de Internet ya han sido protegidos, algunos clientes de dispositivos Android y de sus servicios en la nube aún deben tomar medidas para corregir los agujeros de seguridad.
“No hemos recibido ninguna información para indicar se han atacado a nuestros clientes”
Microsoft lanzó el miércoles una actualización de seguridad para su sistema operativo Windows 10 y versiones anteriores del producto, con el objetivo de proteger a los usuarios de dispositivos con chips de Intel, ARM y AMD. Más tarde ese día, la compañía aseguró que la mayoría de la infraestructura en la nube de Azure se había actualizado con la solución y que los clientes no verán una desaceleración notable.
“No hemos recibido ninguna información para indicar que estas vulnerabilidades se han utilizado para atacar a nuestros clientes”, comentó Microsoft. Las correcciones se planearon originalmente para su lanzamiento el 9 de enero, pero se liberaron el miércoles después de que la debilidad se hiciera pública, según una fuente familiarizada con el tema.
Los proveedores de potencia y servicios de cómputo a través de Internet tendrán que actualizar el software para evitar la vulnerabilidad potencial, lo que requerirá líneas adicionales de código, recursos informáticos y energía para realizar las mismas funciones mientras se mantiene la seguridad, alertó Frank Gillett, otro analista de Forrester. “Cuando se ejecutan miles de millones de servidores, un golpe del 5 por ciento es enorme”.