Mucho se habla de cómo debemos proteger nuestro software ante las amenazas de hackers y atacantes, y de las medidas que deberíamos tomar. Pero, ¿qué pasa cuando no es el software lo que falla, sino el hardware?
Esa es la tesitura a la que se enfrentarán millones de usuarios de ordenadores con procesadores fabricados por Intel.
Una nueva vulnerabilidad presente en estos chips permite saltarse medidas de seguridad implementadas por hardware; por lo que un ataque bien planteado podría servir para acceder a nuestros datos sin que podamos hacer nada.
Fallo de seguridad en procesadores Intel
Si te suena, es por un buen motivo; hace menos de dos años que se reveló la existencia de Meltdown y Spectre, dos vulnerabilidades presentes en la mayoría de procesadores vendidos en la última década.
El nuevo fallo de seguridad, descubierto por investigadores de la empresa de seguridad Positive Technologies, es diferente en algunos aspectos, pero también coincide en que es un fallo de hardware; eso implica que es imposible arreglarlo sin cambiar el procesador por otro que no tenga el fallo.
Otra diferencia es que, mientras Specre afectaba a procesadores de varias compañías, este nuevo problema es exclusivo de Intel, ya que afecta a su CSME (Converged Security and Management Engine), un subsistema presente en sus procesadores que se encarga de la seguridad.
Entre las funciones del CSME está el encriptado, que puede servir para autenticar la BIOS de nuestra placa base o para comprobar si el software que se ejecuta es fiable. Sistemas como Microsoft System Guard y Bitlocker usan CSME para sus funciones de cifrado y seguridad. Por lo tanto, comprometer la seguridad de este sistema sería el equivalente de dar las llaves de casa a cualquiera.
Cuál es el problema
El bug se encuentra en la unidad de gestión de memoria, concretamente en la función que impide la modificación de los datos almacenados en la memoria RAM; el problema está en que esta función no se inicia lo suficientemente rápido durante el proceso de arranque del firmware.
Por lo tanto, cada vez que encendemos el ordenador hay un pequeño instante en el que el sistema está desprotegido; si en ese momento otro componente ejecuta código malicioso, no habría manera de detectarlo ni impedirlo.
Este código tendría los máximos privilegios de sistema, y por lo tanto sería capaz de hacer cualquier cosa, desde instalar malware en nuestro sistema a espiar todas nuestras comunicaciones.
Intel responde
Intel ha intentado quitar hierro al asunto, afirmando que esta vulnerabilidad sólo se puede aprovechar si el atacante tiene acceso a nuestro equipo.
Sin embargo, el mayor problema de este tipo de vulnerabilidades no es tanto que sea posible realizar un ataque semejante; algo que la inmensa mayoría de usuarios no teme. Es que supone una pérdida de la confianza en Intel y su plataforma. A partir de ahora, ya no hay ninguna seguridad de que el código ejecutado en un procesador Intel no sea malicioso.
La seguridad informática es algo muy frágil, y se sostiene mayormente por la confianza mutua; si se rompe esa confianza, es muy difícil recuperarla. Los propios investigadores creen que esta vulnerabilidad pone en riesgo todo lo que Intel ha hecho para crear esa confianza.
Por su parte, Intel ya ha lanzado parches que deberían minimizar el efecto de ataques locales que se aprovechen de esta vulnerabilidad; pero será imposible pararlos completamente por las propias características del fallo. En concreto, si el atacante tiene acceso al ordenador, puede ser imposible pararlo.
Cinco años de procesadores inseguros
Como es habitual, Intel no distribuye este parche directamente a los usuarios, sino que son los fabricantes de placas base y sistemas operativos los que deben implementarlo en su software. Por lo tanto, es recomendable mantener tu sistema siempre actualizado, pero incluso si sigues esa recomendación es muy posible que tu equipo sea muy vulnerable.
Es un problema similar a Spectre: Intel tuvo que confesar que no iba a poder arreglar los procesadores actuales, y en vez de eso prometió que sus modelos futuros serían inmunes. Ahora, y a las puertas de una nueva generación con el salto a los 5 nm en el 2022, Intel se encuentra en la misma situación.
En este caso, se estima que esta nueva vulnerabilidad afecta a prácticamente todos los procesadores vendidos por Intel en los últimos cinco años, cuando se implementó la última versión de CSME. Si tienes un ordenador Intel comprado en este periodo, lo más probable es que este problema le afecte.