Si vivís en occidente y tenés celular, computadora, tablet o cualquier tipo de dispositivo electrónico, estás expuesto a sufrir algún ataque malicioso y no hay mucho que puedas hacer para evitarlo. La sorprendente noticia surge de dos vulnerabilidades descubiertas a mediados de 2017 pero filtradas a los medios a principios de año que están presentes en los procesadores fabricados por Intel y AMD desde 1995 y que abren la puerta a posibles ataques externos. Las empresas salieron rápidamente a ofrecer parches, pero muchos fueron defectuosos y ralentizaron el funcionamiento de los equipos. La solución definitiva, explican, recién llegará a fin de 2018 cuando comiencen a fabricar chips sin errores, pero pasarán años hasta que todos actualicen sus equipos. El caso abrió el debate sobre la dependencia del hardware y la necesidad de pensar en clave de soberanía tecnológica.

«La vulnerabilidad es una falla. Es como la ventana de una casa. Si hay una amenaza que explote esa vulnerabilidad, abre la ventana y entra», explica Camilo Gutierrez, jefe de laboratorio de ESET Latinoamérica, una compañía que brinda soluciones de seguridad informática a más de 100 millones de usuarios en el mundo. En este caso, explica, lo que sucedió fue que un grupo de expertos de Google que se dedica a buscar posibles vías de ataque de manera preventiva halló un error que tenía más de 20 años y que estaba vinculado a «cómo tenían protegido el manejo de datos al interior del procesador».

Esos errores fueron bautizados Meltdown (derretimiento) y Spectre (fantasma) acorde a las características de la posible explotación de la falencia que provocan. El primero básicamente «derrite las barreras de seguridad del hardware» y el segundo es tan difícil de solucionar que «perseguirá bastante tiempo a los programadores».

«En teoría un delincuente podría aprovecharse y tomar control completo del dispositivo. Y como el problema está en hardware y no el software, eso hace que potencialmente cualquiera pueda tomar control, aunque en la práctica es extremadamente complicado que alguien a través de un virus pueda aprovecharse de esto», señala Cristian Borghello, director de Segu-Info. En los hechos, aún no se conoce a nadie que haya explotado esta falencia (ver aparte), pero su afectación potencial es tan grave que todas las empresas tecnológicas se apuraron en sacar parches que mediante software corrigen el error en el hardware.

En realidad, tampoco tuvieron que apurarse tanto. Los especialistas de Google avisaron a las empresas de procesadores en junio de 2017 y acordaron no divulgar el tema para evitar ataques indeseados. Durante seis meses todas trabajaron en los parches hasta que en enero la noticia si filtró y tuvieron que dar la cara. Todo ese período en el que trabajaron en las sombras ahora está sujeto a demandas judiciales contra las empresas y sus ejecutivos (ver aparte), ya que ocultaron información sensible que podría haber cambiado decisiones económicas de accionistas y clientes.

Soberanía o dependencia

«Tanto Intel como AMD comparten arquitectura, es decir que un mismo sistema operativo puede andar en los dos. Si hubiera muchas arquitecturas distintas, cada sistema operativo tendría que sacar distintas versiones. Entonces el mercado naturalmente se concentra, lo que no es necesariamente bueno para los usuarios», explica Juan Heguiabehere, director del programa de Seguridad en TICS de la Fundación Sadosky.

Intel tiene una participación de mercado del 80% y AMD, su más cercano competidor, se queda prácticamente con la porción restante. Los únicos que pueden haber quedado libres de este problema son los chinos, añade Heguiabehere. «Ellos compraron MIPS (una arquitectura desarrollada en EE UU más elegante que Intel) y ahora hacen sus propios microprocesadores (Loongson). Entonces no le pagan regalías y puede que no haya tenido problemas ahora.» Consultado por Tiempo, el especialista resume: «Estaría muy bien formar recursos y que fueran desarrollando una arquitectura propia. Es una cuestión de soberanía tecnológica». «

Una sospechosa decisión del CEO

El CEO de Intel, Brian Krzanich, vendió la mitad de sus acciones de la compañía en noviembre de 2017, cinco meses después de que su empresa fuera informada por Google de que existía un grave fallo de seguridad en sus procesadores y dos meses antes de que la noticia tomara estado público. Se quedó con 250 mil acciones, el número mínimo necesario para conducir la compañía.

Desde Intel aseguraron que la decisión no tuvo que ver con la falla, pero eso no pudo evitar que el hecho generara sospechas. Las acciones de Intel cayeron 9% tras el anuncio oficial del problema, pero esta semana alcanzaron el máximo valor en 18 años tras el anuncio de que sacarían a fin de año nuevos chips sin errores.

Conspiranoia

«Se ha probado que agencias gubernamentales han estado detrás de la explotación de errores o conocían de otros errores previamente», explicó a Tiempo Cristian Borghello, director de Segu-Info.

Por eso la Agencia de Seguridad Nacional (NSA) de EE UU, que quedó marcada por el espionaje masivo denunciado por Edward Snowden en 2013, salió a desmarcarse. «En la NSA no sabíamos nada de Meltdown y Spectre. Tampoco hubiéramos aprovechado un error que pusiera en riesgo a compañías como Intel», aseguraron en un comunicado.