OPINIÓN: La seguridad de casi todas las computadoras del planeta ha empeorado
Nota del editor: Bruce Schneier es investigador de la Escuela de Gobierno de la Universidad de Harvard. Las opiniones en esta columna pertenecen exclusivamente al autor.
(CNN) — La seguridad de prácticamente todas las computadoras del planeta ha empeorado gravemente y la única solución real (que desde luego, no es una solución) es tirarlas a la basura y comprar las nuevas que saldrán en unos años.
El miércoles 3 de enero, unos investigadores anunciaron una serie de vulnerabilidades importantes en la seguridad de los microprocesadores que han hecho funcionar a las computadoras del mundo desde hace 15 o 20 años. Las llamaron Spectre y Meltdown y manipulan las diferentes maneras en las que los procesadores optimizan el desempeño reacomodando el orden de las instrucciones o ejecutando instrucciones diferentes simultáneamente.
Lee: ¡Oops! Las Mac también afectadas por 'Spectre' y 'Meltdown'
Un atacante que controle un proceso en un sistema puede usar las vulnerabilidades para robar secretos de otras partes de la computadora. Esto significa que una aplicación maliciosa puede robar la información de las demás aplicaciones de tu teléfono o que un programa malicioso en tu computadora (que tal vez se ejecute desde la ventana de ese sitio dudoso que estás visitando o que haya surgido de un ataque de phishing) puede robar información de otras partes de la máquina.
Los servicios en la nube, que suelen compartir máquinas de varios clientes, son particularmente vulnerables. Esto afecta a las aplicaciones corporativas que se ejecutan en infraestructura de la nube y aplicaciones para usuarios finales, como Google Drive. Todavía no sabemos exactamente cómo.
La información sobre estas fallas ha estado circulando secretamente entre las principales empresas de tecnologías de la información desde hace unos meses porque estuvieron investigando las repercusiones y las actualizaciones coordinadas. Se suponía que darían a conocer los detalles la próxima semana, pero la noticia se dio a conocer antes y todo el mundo se está apresurando a actuar.
El parche contra Meltdown puede degradar el desempeño en casi un tercio. No hay parche para Spectre; es necesario rediseñar los microprocesadores para prevenir el ataque y eso puede llevar años.
Lee: Fallas en chips afectan a los equipos Mac e iOS de Apple
"Tírala a la basura y compra una nueva" es un pésimo consejo de seguridad, pero lo escucharás cada vez más. Varias tendencias convergen de forma que nuestro sistema actual de reparación de vulnerabilidades de seguridad es cada vez más difícil de implementar.
La primera es que estas vulnerabilidades afectan a las computadoras integradas en los dispositivos para el consumo. A diferencia de las computadoras y los teléfonos, estos sistemas se diseñan y se producen con un margen de ganancias menor y con menos conocimientos de ingeniería.
No hay equipos de seguridad a los cuales llamar para que creen parches y no suele haber mecanismos para implementar los parches en los dispositivos.
Ya hemos visto esto en enrutadores domésticos, en grabadoras de video digital y en cámaras web. La vulnerabilidad que permitió que la red de bots Mirai tomara el control de ellos , en agosto pasado, simplemente no puede repararse.
Lee: Así fue descubierto uno de los peores errores de seguridad informática
La segunda tendencia es que algunos de los parches exigen la actualización del firmware de la computadora. Esto es mucho más difícil de explicar a los consumidores y es mucho más probable que el dispositivo falle permanentemente si algo sale mal. También se necesita más coordinación.
Intel presentó en noviembre una actualización de firmware para reparar una vulnerabilidad en su motor de administración (ME, por sus siglas en inglés): otro defecto de sus microprocesadores. Sin embargo, no pudo hacer llegar esa actualización directamente a sus usuarios, sino que tuvo que trabajar con las empresas de hardware; algunas de ellas simplemente no fueron capaces de hacer llegar la actualización a sus clientes.
La razón final es la naturaleza de las vulnerabilidades en sí. No son vulnerabilidades de software normales, en las que un parche arregla el problema y todos pueden seguir con su vida. Estas vulnerabilidades están en el funcionamiento básico del microprocesador.
Lee: ¿Tienes uno de estos dispositivos? Por seguridad, actualiza su software
No debería sorprendernos que los diseñadores de microprocesadores hayan estado construyendo hardware inseguro desde hace 20 años. Lo sorprendente es que tardamos 20 años en descubrirlo. En su afán de crear computadoras más rápidas, no pensaron en la seguridad. No tenían los conocimientos para detectar estas vulnerabilidades. Quienes los tenían, estaban demasiado ocupados buscando vulnerabilidades normales de software como para examinar los microprocesadores.
Los investigadores de seguridad están empezando a analizar estos sistemas, así que lo más probable es que oigamos más sobre estas vulnerabilidades.
Spectre y Meltdown son vulnerabilidades muy catastróficas, pero solo afectan la confidencialidad de la información. Ahora que las vulnerabilidades —y las investigaciones sobre la vulnerabilidad del ME de Intel— les han indicado a los investigadores en dónde buscar, habrá más… y lo que encontrarán será peor que Spectre o Meltdown.
Lee: ¿Tu PC con Intel está en peligro?
Habrá vulnerabilidades que permitan que los atacantes manipulen o borren información en diversos procesos, lo que podría ser letal en el caso de las computadoras que controlan nuestros automóviles o nuestros dispositivos médicos implantados. De igual forma, será casi imposible repararlas y la única estrategia será tirarlos a la basura y comprar unos nuevos.
Con esto no quiero decir que deben apagar inmediatamente sus computadoras y sus teléfonos y que dejen de usarlos por unos años. Para el usuario común, este es un método de ataque entre muchos. Todos los consejos normales de seguridad siguen siendo válidos: cuídate de los ataques de phishing, no hagas clic en archivos adjuntos de correos electrónicos extraños, no visites sitios web poco confiables, parcha de inmediato tus sistemas y, en general, ten cuidado en internet.
Probablemente no notes la afectación al desempeño una vez que parchen Meltdown, salvo tal vez en los programas de respaldo y en las aplicaciones en red. Los sistemas integrados que solo ejecutan una tarea, como tu termostato programable o la computadora de tu refrigerador, no se verán afectados.
Lee: Los hackeos que nos dejaron expuestos en 2017
Los microprocesadores que no hacen todos estos trucos geniales no se verán afectados. Los buscadores encontrarán la forma de mitigar el problema a través de software. En general, la seguridad del dispositivo promedio del Internet de las Cosas (IoT) es tan mala que este ataque es uno más entre los riesgos conocidos.
Para quienes promueven los servicios en la nube es un problema mayor: las afectaciones al desempeño serán costosas, aunque espero que encuentren una forma astuta de detectar y bloquear los ataques.
Pero vendrán más, y serán peores. 2018 será el año de las vulnerabilidades de los microprocesadores y va a ser un viaje agitado.
Consulta más información sobre este y otros temas en el canal Opinión