El mayor agujero de seguridad muestra cómo empresas tecnológicas juegan con el usuario

El descubrimiento esta semana de “Meltdown” y “Spectre”, consideradas ya por los expertos en ciberseguridad como las dos vulnerabilidades más peligrosas de la historia de la informática, no sólo supone un riesgo evidente para cualquier poseedor de un ordenador, móvil o tableta, sino que también pone al descubierto cómo las grandes compañías tecnológicas juegan con la información, esconden amenazas y peligros e incluso tratan de enriquecerse a costa de los consumidores.

Para entender la situación hay que analizar cómo averiguan la existencia de “Meltdown”, el primer gran agujero que encontraron, a mediados de 2017, expertos del equipo de seguridad informática Project Zero de Google, de la empresa Cyberus Technology y de las Universidades de Graz (en Austria) y Adelaida (en Australia). Ellos descubren que los procesadores Intel –que se utilizan en la mayor parte de los ordenadores que se han vendido en el mundo en los últimos 10 años- presentan un fallo por el que permitirían a un ciberdelincuente acceder a información sensible como contraseñas, números bancarios, etcétera almacenada en cualquier equipo.

Básicamente, y resumiendo considerablemente un proceso técnico más complejo, durante el uso cotidiano del ordenador, el procesador debe acceder constantemente a la memoria kernel del sistema operativo, algo así como el “núcleo duro” del sistema, donde se guarda la información sensible, y comunicarse con él. Sin embargo, esta transmisión de datos se realiza en un entorno que no es del todo seguro. Si un hacker tuviera acceso físico al ordenador o remoto, a través de la instalación de un programa espía enviado a través de un correo con spam o consiguiendo que el usuario se descargase un archivo de una web infectada, por ejemplo, podría controlar la comunicación y hacerse con la información del usuario.

Google asegura que comunicó a las empresas afectadas, entre ellas, Intel, Microsoft y Apple, la existencia del gravísimo fallo de seguridad en el mes de junio. Sin embargo, no se ha sabido nada hasta esta semana. Tanto Microsoft como Apple han estado estos meses recopilando información y desarrollando una actualización de sus sistemas operativos, que iba a ser lanzada el próximo 9 de enero. Habían planeado comunicar el error en esa fecha, una vez que tuvieran la solución. Mientras tanto, actuaron a espaldas de los consumidores, a los que dejaron expuestos sabiendo que sus equipos no eran seguros.

Sin embargo, la filtración de la investigación llevada a cabo por los expertos en seguridad de Google y las citadas universidades hizo que el miércoles pasado se tuviera conocimiento de la vulnerabilidad, lo que ha provocado que firmas como Microsoft hayan lanzado ya parches parciales de seguridad –también lo han hecho Linux y Firefox, entre otras- a la espera de la gran actualización de Windows que prepara para el próximo martes. Por su parte, Apple también tiene lista la nueva versión de MacOS para los usuarios que utilizan ordenadores Mac.

Para rizar más el rizo, cuando el miércoles se descubre “Meltdown”, Intel “tira de la manta” y señala que el problema no sólo afecta a sus procesadores, sino también a los de su principal competidor, AMD, y a los de ARM, la compañía que fabrica los chips que se insertan en la mayor parte de los smartphones. Se desvela así también la vulnerabilidad “Spectre”, que afecta a los procesadores fabricados por estas compañías y también expone la información personal de los usuarios de ordenadores, tabletas y teléfonos móviles, con el agravante de que, para esta, no hay solución posible. La única manera de luchar contra ella es diseñar y fabricar nuevos procesadores y esperar a que éstos lleguen al mercado, un proceso que puede tardar meses y que sólo protegería a quienes renueven por completo sus equipos.

Esto hace pensar que no sólo Microsoft y Apple dejaron desprotegido al consumidor al intentar ocultar la vulnerabilidad hasta que tuvieran una solución para sus sistemas operativos, sino que los propios fabricantes de los chips actuaron de forma poco clara con los usuarios. ¿Por qué Intel –a quien afecta por completo Meltdown-, así como AMD y ARM siguieron fabricando procesadores a pesar de estar avisados por Google desde el mes de junio de que no eran seguros? ¿Por qué no solo no pararon la producción, sino que siguieron vendiendo los chips a pesar de no reunir las condiciones de seguridad necesaria?

Estas compañías podrían haber estado lucrándose tratando de tapar el fallo y podrían enfrentarse a demandas de los consumidores en el futuro. Pero, además, yendo más allá, la directiva de Intel se enfrenta a otro posible escándalo. El consejero delegado de la compañía, Brian Krzanich, vendió la mitad de sus acciones, por valor de 11 millones de dólares, en el mes de noviembre, meses después de conocer la existencia de la vulnerabilidad Meltdown. ¿Se deshizo el directivo de los activos sabiendo el escándalo al que se iba a enfrentar su compañía tras conocerse los resultados de la investigación y que Microsoft y Apple iban a anunciar actualizaciones en sus sistemas operativos para subsanar el error?