«Meltdown» y «Spectre», «colapso» y «fantasma». Así han bautizado a la serie de agujeros informáticos que ya forman parte para siempre de la historia de la ciberseguridad. La razón: posiblemente sean los fallos más masivos jamás conocidos, dado que todo el mundo que tenga un aparato con un chip está afectado. ¿De qué? Del peligro de que le roben información confidencial, desde contraseñas y números de tarjetas de crédito hasta fotos privadas.

El nuevo año nos ha traído una serie de agujeros de seguridad informática que han conmocionado al mundo. Sus descubridores han sido diferentes personas y equipos en Estados Unidos y Europa: Jann Horn del proyecto Zero de Google, Paul Kocher, Mike Hamburg, la empresa Cyberus Technology y las universidades Tecnológica de Graz, de Pensilvania, Maryland y Adelaide.

La gravedad de Meltdown y Spectre radica en el hecho de que no son fallos del «software» sino del «hardware», de los microprocesadores, elementos físicos en un ordenador que solo siendo reemplazados garantizarán una total seguridad. Pero esto significa tirar a la basura millones de dispositivos, desde los grandes servidores de las redes hasta nuestros caseros teléfonos móviles, tablets, cámaras de vigilancia en las empresas, sistemas automatizados de control industrial, vehículos… todo lo que hoy en día lleva un chip en su interior.

La causa de Meltdown es un error de diseño en todos los chips Intel construidos desde 1995 y tiene solución, en forma de parches de los propios chips, que ya está distribuyendo Intel, así como parches en los sistemas operativos afectados: Windows, MacOS, Linux, Android e iOS. Spectre es más complejo porque no es un fallo sino una funcionalidad que se ha quedado obsoleta y está presente en prácticamente todos los chips, también ARM y AMD, aunque los Intel son los más afectados. En este caso la mitigación del problema es más complicada.

El riesgo de Meltdown y Spectre es que el robo de información confidencial de la memoria de los dispositivos afectados: fotos, correos electrónicos, mensajería instantánea, documentos privados y datos que podrían facilitar posteriores ataques informáticos, como las contraseñas almacenadas en el navegador o las «cookies». Todo sin dejar rastro, pues no quedan trazas en los logs y los antivirus tampoco detectan estos ataques.

Cualquier persona, sea usuario o empresa, que tenga un aparato con un chip en su interior está afectada por el problema y debe prestar atención a las actualizaciones automáticas que le están llegando estos días de sus navegadores y sistemas operativos. Nunca está de más instalar una extensión en el navegador que nos defienda de ataques con Javascript, una de las vías que tiene Spectre de meterse en un navegador y leer los datos que tenga en memoria.

Los usuarios no van a notar más problema que estas actualizaciones. Se habla de ralentización de los equipos debido a los parches, pero todo parece indicar que será mínima y con el tiempo y nuevas actualizaciones podrá minimizarse. La recomendación para usuarios es, pues, asegurarse de que todos sus dispositivos están actualizados.

Quien debe preocuparse son las empresas, dado que Meltdown y Spectre abren un importante vía para el ciberespionaje industrial, el robo de contraseñas, claves de sesión y números de tarjetas de créditos, el uso de los ordenadores corporativos como «zombies» en una botnet y el ataque a los sistemas multiusuario y entornos de virtualización, dado que la ejecución de código malicioso en una máquina virtual permitiría entrar en las que estén en la misma red.

Es por eso que la máxima preocupación está en las empresas que ofrecen servicios en la nube, usando CPUs de Intel y Xen PV como virtualización, también Docker, LXC y OpenVZ están afectados. Un atacante podría alquilar un servidor virtual en un servicio en la nube compartido y, a partir de ahí, usar Meltdown para acceder a los datos de otros usuarios de aquella nube. De todas formas Microsoft, Google y Amazon se han dado prisa en asegurar que no habrá ningún problema para sus usuarios, tampoco la temida ralentización.


New call-to-action