Meltdown y Spectre, dos fallos de hardware que amenazan la seguridad informática global Meltdown y Spectre, dos fallos de hardware que amenazan la seguridad informática global
El comienzo del año 2018 ha sido catastrófico en lo que a la seguridad informática refiere. El pasado día 3 de Enero de 2018... Meltdown y Spectre, dos fallos de hardware que amenazan la seguridad informática global

El comienzo del año 2018 ha sido catastrófico en lo que a la seguridad informática refiere. El pasado día 3 de Enero de 2018 se tuvo noticia oficial de dos fallos de seguridad llamados MeltDown y Spectre, vulnerabilidades descubiertas por personas del Google Project Zero, Cyberus Technology, y la Universidad de Tecnología de Graz. En realidad, estaba planificado comunicar oficialmente la existencia de los fallos el 9 de Enero de 2018, pero como algunos sitios de noticias comenzaron a informar sobre los cambios que se avecinaban en el núcleo de Linux, se adelantó seis días la comunicación oficial.

MeltDown permite la vulnerabilidad es evitar límites de seguridad que son aplicados por el hardware, siendo vulnerables datos privados como contraseñas u otros datos confidenciales.

El fallo de seguridad MeltDown es una vulnerabilidad que afecta prácticamente a la totalidad de los procesadores Intel fabricados desde el año 1995 —a excepción de los procesadores Atom e Itanium fabricados antes del año 2013—, aunque tampoco se descarta que pudiera afectar a otros procesadores como AMD o ARM. En resumen, lo que permite la vulnerabilidad es evitar límites de seguridad que son aplicados por el hardware, siendo vulnerables datos privados como contraseñas u otros datos confidenciales, porque MeltDown permitiría acceder a partes sensibles de la memoria. El fallo afecta a ordenadores personales y portátiles que incluyan a los procesadores detallados anteriormente.

El fallo de seguridad Spectre es más grave todavía que el MeltDown, porque si bien es otro fallo de hardware, el caso del Spectre afecta a los procesadores AMD y ARM, aparte de los fabricados por Intel, por lo que los equipos afectados alcanzarían también a «tablets» y «smartphones», además de los ordenadores de sobremesa y portátiles. En resumen, lo que permite la vulnerabilidad es permitir a un software acceder a otros programas, pudiendo «engañar» a otras aplicaciones de «software seguro» para que compartan datos.

En el caso de Spectre, no hay una reparación planteada por el momento, y la solución pasa por desarrollar software que pueda «frenar» más que «solucionar» las consecuencias directas de un ataque.

El camino para solucionar el grave fallo MeltDown pasa por desarrollar —vía software— parches en los sistemas operativos que permitan «tapar» la vulnerabilidad. Para los ordenadores con sistema operativo Windows y Linux existen parches oficiales disponibles para descargar… pero… para rematar el grave problema, desde diversas fuentes se ha estado afirmando que instalar esos parches podrían provocar la ralentización de los procesadores hasta en un 30%, información que se ha apurado a desmentir Intel. No obstante, según diversas fuentes, esa ralentización podría darse únicamente en los casos de usos para virtualización, en ordenadores de uso estándar en los hogares sería imperceptible. En el caso de Spectre, no hay una reparación planteada por el momento y la solución pasa por desarrollar software que pueda «frenar» más que «solucionar» las consecuencias directas de un ataque por medio de esa vulnerabilidad.

Hasta el momento de redactar este artículo, no se había detectado ningún ciberataque de carácter global que utilice alguna o las dos vulnerabilidades, pero también es cierto que los antivirus no pueden rastrear esos ataques, además de que ataques ejecutados en el pasado no hubieran dejado rastro alguno.

Muchos medios en Internet publicaron, por error, que la propia empresa Intel había subido un enlace de descarga de una utilidad para detectar si un ordenador es vulnerable o no a MeltDown y Spectre.

Durante las navidades, y en secreto al no ser pública todavía la noticia, fabricantes como, por ejemplo, Intel trabajaron mano a mano con desarrolladores de sistemas operativos para buscar las posibles soluciones para ambas vulnerabilidades. Además, muchos medios en Internet publicaron que la propia empresa Intel había subido un enlace de descarga de una utilidad (https://downloadcenter.intel.com/download/27150) para detectar si un ordenador es vulnerable o no a MeltDown y Spectre. Nosotros hemos ejecutado la aplicación de Intel en un ordenador con un microprocesador Intel i5-3330 del año 2013 y que, además, no tiene instalado todavia el parche de seguridad para Windows publicado el día 4 de Enero de 2018.

El resultado de la ejecución determinó que ese equipo NO es vulnerable, algo que nos deja con algo de desconcierto si hacemos caso a la noticia original que afirma que todos los procesadores Intel fabricados desde el año 1995 estarían afectados por el fallo de diseño de hardware; no supimos, inicialmente, como interpretar el dictamen de la aplicación de Intel que verifica la vulnerabilidad. Posteriormente, hemos investigado un poco y lo que cientos de páginas web están informando como una herramienta para detectar si un equipo es vulnerable mediante MeltDown y Spectre, en realidad, sirve para valorar otro tipo de vulnerabilidad relacionada con el Intel Management Engine. Así que, por el momento, no existe una herramienta oficial que valore las nuevas vulnerabilidades anunciadas el 3 de Enero de 2018, aunque en cientos de medios y páginas web se afirme lo contrario.

Todavía hay mucha información circulando por Internet pendiente de confirmación oficial, así como, según donde se mire, las vulnerabilidades se consideran más o menos graves.

Inicialmente es la empresa Intel la que más «palos» está recibiendo a nivel mundial en Internet, pero el problema es mucho más serio y afecta a todo tipo de equipamientos informáticos portables y no portables, alcanzando a más de un fabricante de microprocesadores. Pero todavía hay mucha información circulando por Internet pendiente de confirmación oficial, así como, según donde se mire, las vulnerabilidades se consideran más o menos graves. Lo que está claro es que este tipo de vulnerabilidades no afectan por igual a un usuario doméstico, a un «data center», o a un «centro de virtualización»… como tampoco afecta por igual a los sistemas informáticos de las empresas que a los ordenadores domésticos.

Manuel Director

Analista informático, desarrolla su labor profesional para importantes clientes en una empresa de Ingeniería de Software. Entre sus logros se encuentra haber ganado un premio internacional, y otro premio a nivel nacional, además de otras dos importantes menciones, todo ello relacionado con el mundo de Internet y la informática. Además es el creador de varios desarrollos de software freeware de gran éxito en varios países. En su tiempo libre fuera de su labor profesional es Director de ParcelaDigital.

Artículos antiguos…