Descubiertos nuevos fallos de seguridad en los procesadores Intel

Millones y millones de dispositivos electr¨®nicos tienen un procesador fabricado por Intel. El a?o pasado se conoci¨® que la gran mayor¨ªa de los comercializados en la ¨²ltima d¨¦cada por la marca son vulnerables a ataques, pero no todas las debilidades salieron a la luz en ese momento. Esta semana la multinacional ha alertado que detect¨®, en colaboraci¨®n con distintos grupos de investigaci¨®n independientes, un nuevo fallo de seguridad que dejaba expuestos datos sensibles como claves, nombres de usuarios o historial de navegaci¨®n en ordenadores de mesa, port¨¢tiles y servicios de en la nube (sin concretar la cifra de clientes afectados). Intel dice que no tiene constancia de que se hayan producido ataques y que ya ha puesto en marcha medidas correctivas. Expertos consultados por este diario creen que se trata de un fallo igual de grave que los detectados en 2018 y no descartan que en futuro se hallen otros nuevos.

La nueva brecha de seguridad se revel¨® el pasado martes. Lo hicieron tanto la propia compa?¨ªa en su web corporativa como investigadores pertenecientes a distintas universidades y empresas tecnol¨®gicas a trav¨¦s de otra p¨¢gina. La compa?¨ªa afirma que la vulnerabilidad fue descubierta internamente y despu¨¦s notificada tambi¨¦n por inform¨¢ticos externos. Estos ¨²ltimos aseguran que trabajaron en equipos no vinculados y que comunicaron los hallazgos a la empresa.

El problema deja al descubierto datos contenidos en la memoria del microprocesador que no deber¨ªan ser accesibles, seg¨²n Jos¨¦ Rosell, socio director del grupo de seguridad S2. Si el usuario estuviera manejando informaci¨®n sensible como un documento confidencial o una contrase?a en el momento de un ataque, esta podr¨ªa estar al alcance de los hackers, agrega el experto.

Los dispositivos considerados vulnerables antes de que Intel empezara a corregir el fallo son ordenadores y servicios en la nube actualmente en el mercado. La multinacional dice que no tiene el n¨²mero de equipos afectados. Cristiano Giuffrida, investigador del grupo VUSec en la Universidad VU Amsterdam, afirma que su equipo detect¨® el problema en todos los modelos de procesador comercializados a partir de 2008. Otro grupo analiz¨® fallos en equipos instalados desde 2011. ¡°Millones de dispositivos¡±, seg¨²n Giuffrida.

La brecha es t¨¦cnicamente del mismo tipo que la detectada en enero de 2018 (dividida en dos partes, llamadas Meltdown y Spectre), coinciden las fuentes consultadas. Esta tambi¨¦n hac¨ªa vulnerable una gran cantidad de dispositivos (incluidos m¨®viles y tabletas) e involucraba adem¨¢s los procesadores de otras compa?¨ªas. En agosto del a?o pasado se dio a conocer otra vulnerabilidad de los procesadores Intel, llamada Foreshadow.

La gravedad del fallo

Intel afirma que la nueva brecha tiene un grado de peligrosidad entre bajo y medio, es t¨¦cnicamente sofisticada y su explotaci¨®n en un entorno real es ¡°extremamente compleja¡±. La compa?¨ªa sostiene que ya ha aplicado medidas de seguridad para los procesadores de uso individual de octava y novena generaci¨®n (comercializados a partir de 2017), y para los de servicios en la nube sacados este a?o. Tambi¨¦n explic¨® que ha difundido los parches para que la comunidad digital pueda proteger los entornos expuestos.

Compa?¨ªas como Google, Apple, Microsoft, Amazon y Mozilla han comunicado a su vez que est¨¢n actuando para defender a sus propios clientes, seg¨²n recoge TechCrunch. Intel recomienda que todo el mundo mantenga los sistemas actualizados. ¡°Es una de las mejores maneras para quedarse protegidos¡±, explican fuentes de la empresa por correo electr¨®nico. ¡°Cuando salen actualizaciones autom¨¢ticas en el ordenador u otro dispositivo, no hay que retrasarlas¡±, aconseja por su lado Jos¨¦ Rosell.

Giuffrida no est¨¢ de acuerdo con Intel sobre la valoraci¨®n de la gravedad del fallo. En su opini¨®n, aprovechar esta vulnerabilidad es m¨¢s complejo que en el caso de las detectadas en 2018, pero es posible sin ser hacker de primer nivel. ¡°Nosotros tenemos ya implementados ataques capaces de llegar a los datos m¨¢s sensibles de nuestros ordenadores. Los ha desarrollado en 10 d¨ªas un equipo de cuatro estudiantes de doctorado¡±, afirma. Adem¨¢s, cree que Intel no est¨¢ dando instrucciones de protecci¨®n claras. ¡°As¨ª se crear¨¢ una situaci¨®n fragmentada, donde cada uno aplicar¨¢ una estrategia de defensa diferente seg¨²n el sistema. En este contexto hacer un an¨¢lisis de seguridad eficaz ser¨¢ muy complicado y eso empeorar¨¢ las cosas¡±, afirma.

El investigador agrega que tambi¨¦n existe un problema relacionado con las prestaciones de los procesadores, en concreto respecto a una tecnolog¨ªa desarrollada por Intel y llamada Hyper Threading, presente en la gran mayor¨ªa de ellos y capaz de mejorar su rendimiento sin aumentar significativamente los costes. Giuffrida explica que hay que deshabilitar esa funcionalidad porque ¡°no garantiza seguridad ante los ataques y mantenerla protegida a trav¨¦s de alg¨²n software es ¡°muy complejo si no imposible¡±. En su opini¨®n, ¡°este fallo es el primero que demuestra ¡°el problema que puede suponer esta tecnolog¨ªa¡±. Tambi¨¦n recuerda que algunas compa?¨ªas, como Google en el caso de su sistema operativo Chrome OS, ha decidido desactivarla.

Por su lado, Intel desaconseja hacer eso y asegura que en los ordenadores para usuarios individuales la p¨¦rdida de prestaciones tras la aplicaci¨®n de parches correctivos del fallo no superar¨¢ el 3%. En el caso de los servicios de nube, y con Hyper Threading activa, esta disminuci¨®n de rendimiento podr¨ªa llegar a un 10%, agrega.

?El problema ir¨¢ a m¨¢s?

Giuffrida cree que las vulnerabilidades detectadas en los procesadores Intel a partir de 2018 se debe a que la atenci¨®n del mundo acad¨¦mico por los defectos de seguridad se ha movido progresivamente desde los fallos en software hacia la parte hardware de los dispositivos, en particular en los ¨²ltimos tres a?os. ¡°La situaci¨®n es mucho peor de lo que nos esper¨¢bamos. Se pueden crear ataques a los sistemas hardware con demasiado poco esfuerzo. Las empresas empiezan a tomarse en serio el problema, pero creemos que deber¨ªan actuar con mucha m¨¢s contundencia¡±, asegura.

El acad¨¦mico opina que el ataque desvelado esta semana demuestra que Intel no tom¨® medidas suficientes tras descubrir las vulnerabilidades del a?o pasado, ya que las nuevas ¡°est¨¢n muy cerca de las anteriores¡±. Esto, en su opini¨®n, se debe a dos posibilidades: una es que ni compa?¨ªas ni investigadores tengan una respuesta efectiva a estos problemas. La segunda, afirma, ¡°es a¨²n peor, porque significar¨ªa que Intel es consciente de la gravedad del problema pero no muestra las cosas tal y como est¨¢n al p¨²blico para proteger sus intereses¡±. En cualquier caso, concluye, su sensaci¨®n es que los fallos ya desvelados solo representan ¡°la punta del iceberg¡± con respecto a lo que queda por llegar. Intel afirma que se espera que en los nuevos procesadores la vulnerabilidad ya no est¨¦ presente.

Jos¨¦ Rosell de S2 se muestra menos pesimista que Giuffrida. ¡°Casi todos los d¨ªas saltan vulnerabilidades nuevas. Y hay algunas de ellas que son m¨¢s impactantes que esta para el usuario com¨²n¡±, afirma al recordar la que afect¨® a Whatsapp el pasado lunes. En su opini¨®n, el hecho de que Intel haya sacado a la luz el problema que detect¨® es ¡°una buena pr¨¢ctica¡±, porque permite a las compa?¨ªas tecnol¨®gicas y los grupos de seguridad parchear las brechas y evitar da?os m¨¢s graves.