Un grupo de investigadores acusa a Intel de ignorar un fallo de seguridad durante meses

Intel no tom¨® en consideraci¨®n durante meses una brecha de seguridad en sus procesadores reportada por investigadores de ?msterdam en septiembre de 2018, seg¨²n aseguran estos. La vulnerabilidad, se?alada junto a otras parecidas, dej¨® al descubierto datos sensibles de los usuarios en chips de la empresa. Los investigadores dicen que cuando Intel, hace seis meses, inform¨® de que los fallos estaban solucionados, omiti¨® que una parte se qued¨® sin arreglar. Ahora la compa?¨ªa ha anunciado nuevas medidas para cerrar esta ulterior brecha, pero admite que la eficacia de las protecciones no es total. Esos inform¨¢ticos la acusan de no afrontar el problema en sus procesadores desde la ra¨ªz y de falta de transparencia ante los clientes respecto al grado de seguridad de esos productos.

De hecho, fallos de seguridad relacionados a los procesadores de Intel ya se dieron a conocer en enero de 2018. En ese momento, se publicaron?los ataques Meltdown y Spectre, m¨¦todos de hackeo que dejaban vulnerables a la gran mayor¨ªa de los dispositivos con chips de esa compa?¨ªa y de algunos fabricados por otras empresas al ser capaces de afectar su memoria y robar datos privados, como contrase?as. La extensi¨®n del n¨²mero de usuarios expuestos caus¨® en esa circunstancia un gran revuelo medi¨¢tico. Intel afirm¨® que ya estaba trabajando en los parches (arreglos difundidos cada cierto tiempo en las actualizaciones de software de los dispositivos) para solucionar la brecha.

El tema no se qued¨® all¨ª. En mayo de 2019, Intel avis¨® de que hab¨ªa sacado parches para resolver un nuevo fallo t¨¦cnicamente parecido a los anteriores, como confirmaron expertos consultados por este peri¨®dico. La compa?¨ªa dijo que la nueva brecha ten¨ªa un grado de peligrosidad entre bajo y medio y que su explotaci¨®n en un entorno real era ¡°extremadamente compleja¡±. Pero algunos investigadores que se la hab¨ªan se?alado sostuvieron que en realidad el problema era m¨¢s grave de lo previsto y pod¨ªa ir a m¨¢s si Intel no lo abordaba de manera contundente.

Ahora la cuesti¨®n vuelve a estar encima de la mesa. La multinacional inform¨® este martes de que detect¨® en decenas de modelos de sus chips una ulterior vulnerabilidad ligada ¡°estrechamente¡± a las anteriores. Y adem¨¢s, esta vez admite que los parches emitidos podr¨ªan no ser suficientes para solucionar la brecha por completo.

Los expertos acusan a la empresa de no afrontar el problema en sus procesadores desde la ra¨ªz y de falta de transparencia ante los clientes respecto al grado de seguridad de esos productos

Algunos de los descubridores del fallo, quienes tambi¨¦n se?alaron los que se anunciaron en mayo, creen que Intel no est¨¢ abordando la cuesti¨®n como deber¨ªa. ¡°La compa?¨ªa necesita analizar el problema seriamente¡±, afirma Cristiano Giuffrida, del grupo VU Sec de la Universidad VU de ?msterdam. ¡°Hay que mirar todas las posibles variables de la vulnerabilidad y resolver el problema en t¨¦rminos de dise?o. Entiendo que no es f¨¢cil, pero la estrategia actual es realmente decepcionante¡±, agrega el investigador. En algunos casos, dice, para encontrar nuevos fallos ha sido suficiente ¡°cambiar literalmente una l¨ªnea¡± en los c¨®digos de los programas con potencial maligno que desarrollaron.

Seg¨²n explica, en septiembre de 2018 su grupo envi¨® a Intel material que ilustraba estos tipos de software capaces de atacar los procesadores. Poco antes de informar de que hab¨ªa detectado estas vulnerabilidades, en mayo de este a?o, Intel les mostr¨® un documento que conten¨ªa el an¨¢lisis del problema y las medidas de protecci¨®n que hab¨ªa adoptado. Los inform¨¢ticos detectaron que parte de los fallos ¡ªse?alados junto al centro de investigaci¨®n alem¨¢n CISPA¡ª segu¨ªa sin arreglar y alertaron ¡°de inmediato¡± a la multinacional. Esta, dicen, les pidi¨® mantener secreta la nueva informaci¨®n durante seis meses m¨¢s, aunque p¨²blicamente asegur¨® que el defecto estaba solucionado.

Giuffrida asegura que en julio descubri¨® que Intel ¡°perdi¨® completamente¡± las pruebas de conceptos que daban muestra de la nueva vulnerabilidad, a la que define como la ¡°m¨¢s seria¡± de las que han estudiado. Y agrega que el problema a¨²n no est¨¢ resuelto del todo ni siquiera despu¨¦s de que la empresa difundiera este martes nuevos parches, pese a que su equipo acept¨® no dar a conocer el fallo con la condici¨®n de que se solucionara por completo antes de esta fecha.

¡°Intel nos ha pedido entrar en un nuevo proceso de embargo [periodo en el que las partes implicadas en un acuerdo establecen mantener reservada informaci¨®n]¡±, asegura el inform¨¢tico. ¡°Nosotros hemos contestado que no vamos a difundir el software peligroso, pero que s¨ª alertar¨ªamos al p¨²blico de que el problema no est¨¢ resuelto¡±, agrega.

Trabajos en desarrollo para cerrar la brecha

Fuentes de Intel han explicado a este peri¨®dico que las medidas de protecci¨®n aplicadas para cerrar la nueva brecha ¡ªreportada tambi¨¦n por investigadores de la universidad belga KU de Leaven y de la austriaca TU de Gratz en abril de este a?o¡ª ¡°reducen de forma sustancial la superficie potencial de ataque¡±, aunque ¡°pueden no prevenir completamente¡± el acceso a datos contenidos en los procesadores. Tambi¨¦n agregaron que la empresa ¡°sigue trabajando en mejorar esas protecciones¡± y sugiere a los usuarios que actualicen los dispositivos que tienen instalados sus chips.

La empresa asegura que ¡°sigue trabajando en mejorar esas protecciones¡± y sugiere a los usuarios que actualicen los dispositivos que tienen instalados sus chips

Como otras empresas del sector, Intel suele colaborar con el mundo acad¨¦mico para mejorar productos y detectar problemas de seguridad. En estos casos, normalmente, establece periodos de trabajo conjunto bajo embargo hasta encontrar una soluci¨®n. Giuffrida y otros investigadores involucrados en el descubrimiento de las vulnerabilidades creen que la estrategia adoptada esta vez por la compa?¨ªa, basada en ¡°periodos de embargo de hasta un a?o¡± y en analizar las variables del problema ¡°una a la vez¡±, hace que los fallos se queden demasiado tiempo expuestos a posibles ataques y da un ¡°falso sentido de seguridad¡± a sus clientes.

Respecto a estas quejas, una portavoz de Intel ha asegurado: ¡°si bien es posible que no estemos de acuerdo con algunas de sus afirmaciones, valoramos nuestra relaci¨®n con ellos¡±. ¡°Tomamos en serio todas las posibles vulnerabilidades de seguridad, ya sea que se encuentren interna o externamente, y colaboramos activamente con todas las partes para garantizar que existan mitigaciones antes de la divulgaci¨®n p¨²blica¡±, ha agregado.

Por su lado, Daniel Gruss, investigador de la Universidad TU de Gratz, que se?al¨® el nuevo problema en abril, escribi¨® en Twitter que en este caso Intel ¡°ha tomado muy en serio¡± las preocupaciones que le han expresado y durante el ¨²ltimo a?o ha ido mejorando ¡°de forma sustancial¡± la gesti¨®n y la comunicaci¨®n de los problemas se?alados. ¡°Quiero agradecer a Intel por haber mejorado el proceso¡±, afirm¨®.