Un grupo de investigadores acusa a Intel de ignorar un fallo de seguridad durante meses
La empresa ha difundido medidas de protección para cerrar esta brecha, pero admite que no son eficaces al 100%
Intel no tomó en consideración durante meses una brecha de seguridad en sus procesadores reportada por investigadores de Ámsterdam en septiembre de 2018, según aseguran estos. La vulnerabilidad, señalada junto a otras parecidas, dejó al descubierto datos sensibles de los usuarios en chips de la empresa. Los investigadores dicen que cuando Intel, hace seis meses, informó de que los fallos estaban solucionados, omitió que una parte se quedó sin arreglar. Ahora la compañí...
Intel no tomó en consideración durante meses una brecha de seguridad en sus procesadores reportada por investigadores de Ámsterdam en septiembre de 2018, según aseguran estos. La vulnerabilidad, señalada junto a otras parecidas, dejó al descubierto datos sensibles de los usuarios en chips de la empresa. Los investigadores dicen que cuando Intel, hace seis meses, informó de que los fallos estaban solucionados, omitió que una parte se quedó sin arreglar. Ahora la compañía ha anunciado nuevas medidas para cerrar esta ulterior brecha, pero admite que la eficacia de las protecciones no es total. Esos informáticos la acusan de no afrontar el problema en sus procesadores desde la raíz y de falta de transparencia ante los clientes respecto al grado de seguridad de esos productos.
De hecho, fallos de seguridad relacionados a los procesadores de Intel ya se dieron a conocer en enero de 2018. En ese momento, se publicaron los ataques Meltdown y Spectre, métodos de hackeo que dejaban vulnerables a la gran mayoría de los dispositivos con chips de esa compañía y de algunos fabricados por otras empresas al ser capaces de afectar su memoria y robar datos privados, como contraseñas. La extensión del número de usuarios expuestos causó en esa circunstancia un gran revuelo mediático. Intel afirmó que ya estaba trabajando en los parches (arreglos difundidos cada cierto tiempo en las actualizaciones de software de los dispositivos) para solucionar la brecha.
El tema no se quedó allí. En mayo de 2019, Intel avisó de que había sacado parches para resolver un nuevo fallo técnicamente parecido a los anteriores, como confirmaron expertos consultados por este periódico. La compañía dijo que la nueva brecha tenía un grado de peligrosidad entre bajo y medio y que su explotación en un entorno real era “extremadamente compleja”. Pero algunos investigadores que se la habían señalado sostuvieron que en realidad el problema era más grave de lo previsto y podía ir a más si Intel no lo abordaba de manera contundente.
Ahora la cuestión vuelve a estar encima de la mesa. La multinacional informó este martes de que detectó en decenas de modelos de sus chips una ulterior vulnerabilidad ligada “estrechamente” a las anteriores. Y además, esta vez admite que los parches emitidos podrían no ser suficientes para solucionar la brecha por completo.
Los expertos acusan a la empresa de no afrontar el problema en sus procesadores desde la raíz y de falta de transparencia ante los clientes respecto al grado de seguridad de esos productos
Algunos de los descubridores del fallo, quienes también señalaron los que se anunciaron en mayo, creen que Intel no está abordando la cuestión como debería. “La compañía necesita analizar el problema seriamente”, afirma Cristiano Giuffrida, del grupo VU Sec de la Universidad VU de Ámsterdam. “Hay que mirar todas las posibles variables de la vulnerabilidad y resolver el problema en términos de diseño. Entiendo que no es fácil, pero la estrategia actual es realmente decepcionante”, agrega el investigador. En algunos casos, dice, para encontrar nuevos fallos ha sido suficiente “cambiar literalmente una línea” en los códigos de los programas con potencial maligno que desarrollaron.
Según explica, en septiembre de 2018 su grupo envió a Intel material que ilustraba estos tipos de software capaces de atacar los procesadores. Poco antes de informar de que había detectado estas vulnerabilidades, en mayo de este año, Intel les mostró un documento que contenía el análisis del problema y las medidas de protección que había adoptado. Los informáticos detectaron que parte de los fallos —señalados junto al centro de investigación alemán CISPA— seguía sin arreglar y alertaron “de inmediato” a la multinacional. Esta, dicen, les pidió mantener secreta la nueva información durante seis meses más, aunque públicamente aseguró que el defecto estaba solucionado.
Giuffrida asegura que en julio descubrió que Intel “perdió completamente” las pruebas de conceptos que daban muestra de la nueva vulnerabilidad, a la que define como la “más seria” de las que han estudiado. Y agrega que el problema aún no está resuelto del todo ni siquiera después de que la empresa difundiera este martes nuevos parches, pese a que su equipo aceptó no dar a conocer el fallo con la condición de que se solucionara por completo antes de esta fecha.
“Intel nos ha pedido entrar en un nuevo proceso de embargo [periodo en el que las partes implicadas en un acuerdo establecen mantener reservada información]”, asegura el informático. “Nosotros hemos contestado que no vamos a difundir el software peligroso, pero que sí alertaríamos al público de que el problema no está resuelto”, agrega.
Trabajos en desarrollo para cerrar la brecha
Fuentes de Intel han explicado a este periódico que las medidas de protección aplicadas para cerrar la nueva brecha —reportada también por investigadores de la universidad belga KU de Leaven y de la austriaca TU de Gratz en abril de este año— “reducen de forma sustancial la superficie potencial de ataque”, aunque “pueden no prevenir completamente” el acceso a datos contenidos en los procesadores. También agregaron que la empresa “sigue trabajando en mejorar esas protecciones” y sugiere a los usuarios que actualicen los dispositivos que tienen instalados sus chips.
La empresa asegura que “sigue trabajando en mejorar esas protecciones” y sugiere a los usuarios que actualicen los dispositivos que tienen instalados sus chips
Como otras empresas del sector, Intel suele colaborar con el mundo académico para mejorar productos y detectar problemas de seguridad. En estos casos, normalmente, establece periodos de trabajo conjunto bajo embargo hasta encontrar una solución. Giuffrida y otros investigadores involucrados en el descubrimiento de las vulnerabilidades creen que la estrategia adoptada esta vez por la compañía, basada en “periodos de embargo de hasta un año” y en analizar las variables del problema “una a la vez”, hace que los fallos se queden demasiado tiempo expuestos a posibles ataques y da un “falso sentido de seguridad” a sus clientes.
Respecto a estas quejas, una portavoz de Intel ha asegurado: “si bien es posible que no estemos de acuerdo con algunas de sus afirmaciones, valoramos nuestra relación con ellos”. “Tomamos en serio todas las posibles vulnerabilidades de seguridad, ya sea que se encuentren interna o externamente, y colaboramos activamente con todas las partes para garantizar que existan mitigaciones antes de la divulgación pública”, ha agregado.
Por su lado, Daniel Gruss, investigador de la Universidad TU de Gratz, que señaló el nuevo problema en abril, escribió en Twitter que en este caso Intel “ha tomado muy en serio” las preocupaciones que le han expresado y durante el último año ha ido mejorando “de forma sustancial” la gestión y la comunicación de los problemas señalados. “Quiero agradecer a Intel por haber mejorado el proceso”, afirmó.