El miércoles 3 de enero , un grupo de expertos en seguridad reveló dos fallas de seguridad que afectan a casi todos los microprocesadores, los cerebros digitales de las computadoras del mundo.
Estas fallas, llamadas Meltdown y Spectre, podrían permitir que los hackers extraigan contraseñas, fotografías, documentos y otros datos de los teléfonos inteligentes, las PC y los servicios informáticos en la nube de los que dependen muchos negocios.
Algunas de las empresas de tecnología más grandes del mundo han estado trabajando en soluciones para estos problemas. Sin embargo, los investigadores que descubrieron las fallas dijeron que una de ellas, Spectre, no es completamente solucionable. “Es una falla fundamental en la manera en que los procesadores se han construido a lo largo de las últimas décadas”, dijo Paul Kocher, uno de los investigadores que descubrieron estas fallas.
Aquí le presentamos una guía de lo que necesitas sabe y lo que debe hacer.
¿Dónde están estas fallas exactamente?
Ambas son problemas con la manera en que están diseñados los chips de las computadoras.
Meltdown afecta a la mayoría de los procesadores fabricados por Intel, la empresa que suministra chips para la mayoría de las PC y más del 90% de los servidores informáticos.
Es mucho más difícil que los hackers aprovechen la falla Spectre, pero esta es todavía más amplia, pues afecta a los chips de Intel, a los microprocesadores de AMD, el antiguo rival de Intel, y a los muchos chips que utilizan los diseños de la empresa británica ARM. Es muy probable que tu teléfono inteligente contenga un chip de ARM.
¿Por qué representan un problema tan grande?
Ambas fallas proporcionan a los hackers una manera de robar datos, incluyendo contraseñas y otros tipos de información confidencial. Si los hackers logran ejecutar software en uno de estos chips, pueden extraer datos de otros programas que se utilicen en la misma máquina.
Este es un problema específico de los servicios informáticos en la nube.
¿Por qué son tan importantes los servicios informáticos?
Operados por empresas como Amazon, Microsoft y Google, estos son servicios que cualquier negocio o individuo puede rentar para tener acceso al poder informático en Internet. En un servicio en la nube, cada servidor generalmente se comparte entre muchos clientes distintos. Al aprovechar la falla Meltdown, un hacker puede tan solo cargar software en un servicio en la nube para después extraer datos de cualquier otra persona que haya cargado software en el mismo servidor.
¿Qué pasa con los celulares y las PC?
Los celulares y las PC son blancos más difíciles. Antes de poder aprovechar las fallas en los chips, los hackers deben encontrar una manera de poner el software en su dispositivo. Podrían engañarle para que descargue una aplicación de una tienda de aplicaciones para teléfonos inteligentes, o podrían hacer que visite un sitio web que instale códigos en su máquina.
¿Pero las empresas están solucionando estas fallas?
Lo están intentando. Meltdown puede solucionarse al instalar un “parche” de software en la máquina. Microsoft ha lanzado un parche para PC que utiliza su sistema operativo Windows. Apple señaló que había lanzado parches de software para iOS, Macs y Apple TV que ayudan a mitigar el problema. Intel también está trabajando en actualizaciones para ayudar a solucionar el problema.
La carga ahora es para los consumidores y los negocios que deben instalar la solución en sus máquinas.
¿Qué debería hacer como consumidor?
Mantenga actualizado su software. Eso incluye su sistema operativo y aplicaciones como su explorador web y el antivirus. Microsoft, Mozilla y Google ya han lanzado parches para Internet Explorer, Firefox y Chrome con el fin de ayudar a abordar este problema.
Instalar un bloqueador de anuncios publicitarios en su explorador web también es una protección, de acuerdo con expertos en seguridad. Incluso los sitios web más grandes no tienen mucho control respecto de los anuncios que aparecen en sus sitios… a veces hay códigos maliciosos que pueden aparecer dentro de sus redes de anuncios. Un bloqueador de publicidad popular entre los investigadores de seguridad es uBlock Origin.
“El verdadero problema es que los anuncios son peligrosos”, dijo Jeremiah Grossman, el director de estrategias de seguridad de SentinelOne, una empresa de seguridad informática. “Son programas completamente funcionales, pero contienen malware”.
¿Cómo actualizo mi software?
Su sistema operativo y sus aplicaciones generalmente tienen un botón al que puede dar clic para revisar si hay actualizaciones de software. En el explorador Chrome de Google en una computadora, por ejemplo, puedes dar clic en los tres puntos que se encuentran en la esquina superior izquierda y después dar clic en Actualizar Google Chrome. Para actualizar Windows, da clic en el botón de inicio y da clic en estos botones: Configuración, Actualizaciones y seguridad, Actualización de Windows y Revisar actualizaciones. Para actualizar el sistema de Mac, abra la aplicación de App Store y revise la pestaña de Actualizaciones para ver el software más reciente.
No pierda tiempo. El año pasado, un malware llamado WannaCry infectó a cientos de miles de máquinas de Windows en todo el mundo. Microsoft tuvo que lanzar una actualización antes del ataque, pero muchas máquinas se quedaron atrás y no descargaron las actualizaciones de seguridad más recientes.
¿Qué pasa con los servicios en la nube?
Amazon, Google y Microsoft dijeron que ya habían puesto parches a la mayoría de los servidores que respaldan sus servicios informáticos en la nube, y que eso resuelve el problema en gran medida. Sin embargo, Amazon y Google también dijeron que los clientes quizá necesiten hacer cambios adicionales.
Para compartir el poder informático con los clientes, los servicios en la nube ofrecen “máquinas virtuales”. Se trata de computadoras que solo existen de manera digital. Los clientes utilizan estas máquinas virtuales para ejecutar su propio software. Después de que Amazon, Google y Microsoft actualicen sus máquinas, los clientes quizá deban actualizar los sistemas operativos que se ejecutan en sus propias máquinas virtuales para protegerse de algunas fallas.
Si todos actualizan su software, ¿todo estará bien?
No. Los investigadores que descubrieron Meltdown dijeron que los sistemas de parches los ralentizarían hasta en un 30% en ciertas situaciones. Eso podría ser un problema para los grandes sistemas en la nube.
Los desarrolladores independientes de software también hicieron pruebas en una versión con parche de Linux, el sistema operativo de código libre que ahora está en más del 30% de los servidores del mundo, y vieron desaceleraciones similares.
“Hay muchos casos en los que no hay impacto en el desempeño”, dijo Andres Frome, un desarrollador de software que ha probado el nuevo código. “Pero si estás usando algo como un sistema de pago, donde los datos sufren muchos cambios pequeños, al parecer habrá un impacto significativo en el desempeño”.
Los clientes tienen menos probabilidad de verse afectados y Kocher dijo que las desaceleraciones podrían disiparse con el tiempo conforme las empresas perfeccionen sus parches.
¿Qué pasa con la falla Spectre?
De acuerdo con los investigadores que descubrieron estas fallas, entre ellos los expertos de seguridad de Google, el fabricante de chips de memoria Rambus y varias instituciones académicas, Spectre no puede solucionarse por completo. Sin embargo, los parches pueden resolver los problemas en algunas situaciones. Intel, Microsoft y otros afirmaron lo mismo.
¿Spectre puede solucionarse?
De acuerdo con los investigadores, no. Pero es mucho más difícil que los hackers aprovechen la falla Spectre que la falla Meltdown.
Casi igual que Meltdown, Spectre puede robar información de una aplicación y compartirla con otra. Una aplicación que descargaste de la web, por ejemplo, podría robar datos como contraseñas de otro software en una computadora.
EL 3 de enero, el Departamento de Seguridad Nacional emitió una alerta que decía que la única solución para las amenazas planteadas por Meltdown y Spectre sería un remplazo total de los chips. Sin embargo, eso no parece viable, dada la cantidad de máquinas involucradas. “Spectre estará con nosotros durante mucho más tiempo”, dijo Kocher.
