El miércoles, Intel fue el centro de la escena tecnológica al conocerse una vulnerabilidad crítica en el firmware de sus procesadores que dejó a todos los chips fabricados durante los últimos 10 años a merced de ataques informáticos. Esta falla, bautizada como “Meltdown” parece no ser la única potencialmente fatal para computadoras, ya que horas después se ha revelado una segunda vulnerabilidad llamada “Spectre”, mucho más peligrosa, debido a que afecta a casi todos los equipos fabricados en los últimos 20 años, sean PCs o móviles.
Las vulnerabilidades permiten a un atacante comprometer la memoria privilegiada de un procesador explotando la forma en que los procesos se ejecutan en paralelo. El resultado, según dijo un investigador a ZDNet, es que “un atacante podría robar cualquier información en el sistema”.
Los investigadores han creado un sitio web con más detalles sobre Meltdown y Spectre: https://meltdownattack.com/. Sus preguntas frecuentes, al igual que muchas de las preguntas frecuentes relacionadas con la seguridad, son al mismo tiempo reconfortantes y espeluznantes. El FaQ destaca que hay parches para Meltdown en Windows, Linux y macOS. También señala que Spectre, aunque es más difícil de explotar por un hacker, es más problemático: “Como no es fácil de arreglar, nos perseguirá durante bastante tiempo”.
Respecto a Meltdown, en un principio se informó que la única afectada era Intel. En una declaración pública, la compañía refutó estas afirmaciones e indicó que “muchos procesadores y sistemas operativos de diferentes proveedores son susceptibles a estos exploits”. AMD ha negado que alguno de sus procesadores sea vulnerable, aunque investigadores de Google aseguraron haber realizado ataques exitosos en chips FX y PRO de la compañía. ARM, por su parte, también ha confirmado que sus procesadores Cortex-A son vulnerables.
El Proyecto Zero de Google dio a conocer más detalles sobre el error, que parece afectar tanto a dispositivos Android como a ChromeOS, aunque la firma de Mountain View aclaró que explotar el error es “difícil y limitado en la mayoría de los dispositivos Android“. La próxima versión de Chrome se lanzará el 23 de enero , también se alterará para mitigar el ataque, y habilitar la función de “aislamiento del sitio” existente también podrá proporcionar cierta protección.
Microsoft también ha lanzado un parche de emergencia para todos los dispositivos que ejecutan Windows 10, con más actualizaciones planificadas. También ha habido rumores de una corrección parcial de MacOS implementada en la versión 10.13.2, aunque el alcance de los cambios sigue sin estar claro. Por ahora, Apple no respondió a múltiples solicitudes de comentarios.
Por ahora, no está claro cómo los diversos parches afectarán el rendimiento de los procesadores. Algunas estimaciones para algunos sistemas basados en Linux afectaban la performance en un 17%, aunque las pruebas de otras aplicaciones tuvieron poco o ningún efecto. Sin embargo, el impacto inicial parece significativo, con desaceleraciones que dependen en gran medida de la carga de trabajo del dispositivo dado. Ayer, se aseguró que el parche en procesadores Intel repercutiría en una caída de hasta el 30% en el rendimiento de las computadoras afectadas.
