El caso Intel: ¿Son realmente seguros los procesadores de nuestros dispositivos? (actualizado)

Seguro que habréis oído las noticias: un estudio afirma que existe un error de diseño en los procesadores de Intel, AMD y ARM que pueden permitir accesos indeseados a nuestros equipos. Por supuesto, Intel ha respondido afirmando que esto no es correcto pero, ¿qué es lo que ocurre en realidad?

¿Qué sabemos hasta ahora?

Ayer día 3 de enero The Register publicó los alarmantes resultados de un estudio que, en teoría, demostraba un error de diseño que afecta a todos los sistemas operativos y que no puede solucionarse mediante una actualización, por lo que la única solución parece ser una sustitución de estos chips.

¿Cómo me afecta esto a mí?

El menor de los problemas sería la ralentización de nuestros equipos entre un 5% y un 30%. Lo más grave (siempre según el estudio que aun no ha sido hecho público) es que estos errores de diseño hacen a nuestros equipos mucho más vulnerables a potenciales ataques.

De hecho, este fallo permitiría que cualquier aplicación acceda a partes de la memoria que no deberían ser modificados, con lo que también se tendría acceso al resto del equipo. Ya que no se puede solucionar mediante una actualización, lo único que se podría hacer es “separar” de alguna manera esta memoria del resto del dispositivo, lo que podría afectar seriamente al rendimiento.

Procesador

Las últimas noticias indican que son dos errores (dos bugs) de los que uno de ellos afectaría a los procesadores de los tres fabricantes principales: Intel, ARM y AMD. Hablamos, pues, de dos problemas: un error de diseño bautizado como “Meltdown”, que puede solucionarse con parches y otro denominado “Spectre”, que es el que afecta también a AMD y ARM. Para este error no existiría por ahora un parche, por lo que habría que cambiar toda la arquitectura.

El caso Intel: ¿Son realmente seguros los procesadores de nuestros dispositivos? (actualizado)
Meltdown y Spectre ya tienen sus iconos (vía Meltdownattack..com)

Pero, además de afectar a nuestros ordenadores el problema es mucho mayor, ya que este error afecta a millones de máquina en todo el mundo, incluidos los grandes centros de datos que, como indican en The Register, controlan todo lo que nos rodea: comunicaciones, agua, luz, transportes, etc.

Intel da la cara

Intel ha emitido hoy mismo un comunicado donde da a conocer su opinión sobre las conclusiones de este estudio y que os ofrecemos de forma íntegra:

Intel responde a los resultados de unos estudios sobre seguridad

Intel y otras compañías tecnológicas han conocido los resultados de unas investigaciones sobre seguridad que describen unos métodos de análisis que, cuando se usan para fines malintencionados, podrían apropiarse indebidamente de datos confidenciales en dispositivos informáticos que funcionan tal y como fueron diseñados.  Intel cree que estas vulnerabilidades no tienen potencial para corromper, modificar o eliminar datos.

No es cierto lo que indican unos informes recientes que afirman que estas vulnerabilidades son fruto de un “error” o de un “fallo” y que sólo aparecen en productos de Intel. Basándonos en estudios realizados hasta la fecha, muchos tipos de dispositivos informáticos -con procesadores y sistemas operativos de numerosos y diferentes suministradores- son susceptibles de verse afectados por estas vulnerabilidades.

Intel se compromete a proporcionar la máxima seguridad a sus productos y a sus clientes, y está colaborando estrechamente con muchas otras compañías tecnológicas –incluyendo AMD, ARM Holdings y varios suministradores de sistemas operativos–, para desarrollar un mecanismo para resolver este problema en todo el sector de forma inmediata y constructiva. Intel ha comenzado a proporcionar actualizaciones de software y firmware para minimizar estas vulnerabilidades. Al contrario de lo que afirman algunos informes, cualquier impacto en el rendimiento dependerá de la carga de trabajo que se realice y, para el usuario medio de ordenadores, no debería ser considerable y se mitigará con el tiempo.

Intel se compromete con las buenas prácticas del sector, dando a conocer de manera responsable cualquier problema potencial de seguridad y, con este fin, Intel y otros fabricantes han decidido informar sobre este asunto la próxima semana, cuando se encuentren disponibles más actualizaciones de software y firmware.  Sin embargo, Intel ha decidido dar a conocer ya esta declaración debido a los artículos incorrectos que han aparecido en los medios de comunicación.

Consulta con tu proveedor del sistema operativo o con tu fabricante del sistema y realiza las actualizaciones disponibles lo antes posible.  El cumplimiento de buenas prácticas en seguridad para proteger los sistemas contra cualquier malware en general también ayudará a proteger a los usuarios contra una posible vulnerabilidad hasta que se encuentren disponibles las actualizaciones correspondientes.

Intel cree que sus productos son los más seguros del mundo y que, con el apoyo de sus partners, las soluciones actuales para este problema proporcionan a sus clientes la máxima seguridad posible.

Intel, como vemos, afirma que el problema no se limita a sus procesadores, por lo que cualquier otro procesador, independientemente de la marca o del sistema operativo, puede resultar afectado. De hecho, las últimas noticias indican que también estarían afectados los Cortex-A, con lo que la vulnerabilidad llegaría a nuestros smartphones y tablets.

Por otro lado, y para dar información a los usuarios, ha habilitado un microsite con información sobre el tema y que se irá actualizando con la información nueva que vayan haciendo pública desde la compañía, además de nuevos comunicados sobre el trabajo que están realizando para solventar este problema, o los primeros resultados de las actualizaciones de seguridad lanzadas: Apple, Amazon, Google y Microsoft declaran no estar experimentando grandes impactos en el rendimientos tras las actualizaciones.

Las compañías tecnológicas responden

Como no podía ser de otra manera, las grandes firmas de la tecnología han publicado su visión de este gran problema.

AMD insiste en que sus procesadores no se ven afectados por esta vulnerabilidad, pero a algunas pruebas y muchos comentarios que se están publicando.

ARM confirmó hace unas horas que algunos de sus procesadores Cortex-A también son susceptibles a algunos ataques debido a este error de diseño. Por contra, afirman que su Cortex-M (procesadores de baja potencia utilizados, entre otros, para dispositivos IoT) no están dentro de esta vulnerabilidad.

Microsoft ha publicado ya una actualización para Windows 10 que soluciona el fallo, aunque sin informar más. Las actualizaciones para sistemas anteriores llegarán en breve y también ha afirmado que Azure ha sido actualizado para proteger el sistema sin repercutir en el rendimiento.

El caso Intel: ¿Son realmente seguros los procesadores de nuestros dispositivos?

Google afirma que descubrió la vulnerabilidad el año pasado (¿por qué no se lo hizo saber a los fabricantes entonces?), por lo que ya tenían preparado el “parche”.

Amazon, en su Amazon Web Services, afirma que ya han ejecutado las soluciones pertinentes. Lo más curioso es que afirma que “Esta vulnabilidad ha existido desde hace más de 20 años en arquitecturas modernas”.

Apple, por su parte, aún no se ha pronunciado cuando escribimos esto, así que actualizaremos en artículo cuando lo haga. (Actualizacion) Esta pasada madrugada (hora española) por fin se ha pronunciado la marca de la manzana mediante una nota en su página web: reconocen claramente  que los dispositivos iOS también se ven afectados aunque afirman que no existe método aún por el que se puedan comprometer sus sistemas (Siempre según ellos). Asimismo, nos indican que ya incluyeron medidas de contención contra Meltdown en las actualizaciones de diciembre (por lo que parece que todos lo sabian). En los próximos días, afirman, harán lo mismo con Spectre, siempre según la nota oficial.

Entonces… ¿ya se conocía el problema?

Pues parece que sí, que ya se conocía antes de que las conclusiones del informe fueran públicas. Y esto se ha confirmado “gracias” al CEO de Intel, Brian Krzanich. Por lo que ha publicado Business Insider, Google informó a Intel a mediados de año de estas vulnerabilidades. Krzanich, el pasado noviembre, vendió la mitad de las acciones que poseía de la compañía, antes de que trascendiera a la opinión pública, quedándose con las mínimas requeridas para seguir siendo el CEO.

Y esto es todo por ahora. Estaremos muy pendientes de todas las informaciones que aparezcan para analizar este tema y esperamos que el estudio completo se haga público cuanto antes.