Anota estos nombres: Meltdown y Spectre. Así es como se llaman las dos mayores vulnerabilidades de la historia de la computación.

Ambas fueron desveladas el pasado miércoles, gracias a The Register, The New York Times y los propios investigadores, quienes habilitaron un site en el que cualquier persona puede descargar el paper correspondiente a cada una de las vulnerabilidades.

Spectre: la vulnerabilidad que afecta a todos los microprocesadores del mundo

Meltdown: el grave error de seguridad que afecta a todos los procesadores de Intel

Las informaciones relacionadas no han hecho más que sucederse a lo largo de las últimas horas, generando confusión en torno a lo sucedido, la gravedad del asunto y el tipo de equipos afectados.

Hipertextual ha contactado con los principales actores afectados (Microsoft, Apple, Google, Qualcomm, Intel, AMD y Samsung) con el fin de producir una pieza más completa, detallada y sencilla sobre lo que muchos consideran como "la mayor vulnerabilidad de la historia".

Esto es todo lo que tienes que conocer sobre Meltdown y Spectre.

Qué son y cómo de grave se consideran

Tanto Spectre como Meltdown son dos vulnerabilidades descubiertas en las CPU (o procesadores) de millones de equipos de todo el mundo.

La primera en salir a la luz fue Meltdown, de quien informó el diario The Register el pasado miércoles. Inicialmente no contaba con un nombre "oficial", pero, horas más tarde, los investigadores y las compañías afectadas lo identificaron bajo dicho nombre.

La vulnerabilidad está vinculada con el hardware del microprocesador, y no basta una actualización de su microcódigo para revertir la situación.

Esta vulnerabilidad está directamente vinculada con el hardware de los microprocesadores, y una simple actualización de su microcódigo no basta para revertir la situación. Los fabricantes de los equipos afectados y los desarrolladores de los diferentes sistemas operativos tendrán que actualizar sus software para proteger a los usuarios.

La vulnerabilidad Meltdown es muy simple de explicar. El núcleo del sistema operativo almacena datos y procesos de gran valor en ciertas direcciones de memoria. Estas direcciones de memoria pueden contener informaciones muy sensibles (incluyendo contraseñas y claves de cifrado), por lo que estas direcciones de memoria se "ocultan" a cualquiera que no sea el núcleo del sistema operativo.

¿Cuál es el problema? Que un proceso de terceros, aprovechando la vulnerabilidad Meltdown, puede quebrantar ese "modo oculto" del procesador y acceder las direcciones de memoria reservadas para el núcleo del sistema operativo. Una vez ahí, el software maligno puede leer contraseñas, claves de cifrado y otras informaciones sensibles que el kernel (o núcleo) haya decidido almacenar en la correspondiente dirección de memoria.

Spectre, en cambio, permite acceder a bloques de datos y direcciones de memoria reservadas y únicamente accesibles por otras aplicaciones.

Con Spectre el problema es relativamente similar al de Meltdown, pero hay tres diferencias clave: es más difícil de mitigar, es más difícil de ejecutar y el proceso o software malicioso aprovecha la ejecución especulativa para obtener acceso a la memoria utilizada por otras aplicaciones (que, por lo general, está siempre protegida y tiene un acceso restringido).

En resumen: Meltdown permite a un software malicioso acceder a direcciones de memorias solo accesibles por el núcleo del sistema operativo; Spectre, en cambio, permite acceder a bloques de datos y direcciones de memoria reservadas y únicamente accesibles por otras aplicaciones.

Quién está afectado por Meltdown

Principalmente los equipos con procesador Intel. Los investigadores que descubrieron esta amenaza elaboraron diversas pruebas sobre equipos con procesador Intel de 2011 en adelante. Todos ellos cayeron en la trampa.

Cualquier procesador de Intel desde 1995 puede ser vulnerable.No obstante, los investigadores creen que el abanico de equipos afectados es mucho mayor: cualquier microprocesador de Intel desde 1995 podría estar afectado por esta vulnerabilidad. Solo dos modelos muy concretos —y poco comunes— se saltan esta norma.

Los equipos con procesador AMD están siendo objeto de controversia. Los investigadores ni aseguran ni desmienten que sus procesadores estén afectados, pero la compañía insiste rotundamente en que sus microprocesadores están exentos de dicha vulnerabilidad. Esto es lo que AMD dice respecto a la variante 3 (conocida como Meltdown):

Cero vulnerabilidades en los chips de AMD debido a las diferencias en arquitectura.

Los equipos con procesador ARM (como los teléfonos móviles y muchas tabletas) son un caso similar: los investigadores no han podido demostrar que sean vulnerables, aunque la compañía sí reconoce que algunos de sus diseños (como el Cortex-A75) son vulnerables ante Meltdown.

Quién está afectado por Spectre

Según los investigadores, el abanico de equipos afectado por Spectre es muchísimo mayor, y afecta a casi cualquier equipo electrónico moderno.

Los procesadores de Intel son víctimas de este agujero de seguridad, y no existe un parche que proteja sus microprocesadores ante Spectre.

AMD, ARM e Intel. Los tres grandes están afectados, en mayor o menor medida, por Spectre.

Los procesadores de AMD también son vulnerables ante Spectre, aunque el fabricante le quita hierro al asunto y asegura que el riesgo real de afectar a un microprocesador es mínimo. Pese a ello, una futura actualización de software solventará el error.

El estudio realizado por los investigadores también apunta hacia los diseños de ARM, los cuales se ven afectados por la vulnerabilidad Spectre. Este tipo de chips se encuentran presentes en multitud de tabletas y teléfonos móviles, que ahora quedan al descubierto ante el método Spectre.

Se desconoce si los iPhone y iPad son vulnerables a Spectre. Estos utilizan parte de la tecnología de ARM.

Los investigadores pudieron comprobar sus métodos de acceso en equipos con procesadores de Samsung y Qualcomm, dos de los más populares del mercado. Hipertextual contactó con ambas compañías para obtener un comunicado oficial, pero ninguna de ellas comentaron nada al respecto (por el momento).

Se desconoce si los iPhone y iPad de Apple son vulnerables a Spectre. Los chips de la compañía estadounidense emplean un diseño propio pero hacen uso del set de instrucciones de ARM, por lo que podrían verse afectados también. Hipertextual ha contactado directamente con Apple para obtener más información. Por el momento, la compañía asegura no tener ningún comunicado que ofrecer al respecto.

Algunos disparos finales

Fotografía: Intel

  • ¿Cómo puedes protegerte de Meltdown? Microsoft, Google y Linux ya han lanzado –o planean lanzar esta semana— actualizaciones de software para sus productos. Apple no se ha pronunciado al respecto, aunque algunos expertos aseguran que la versión 10.13.2 y 10.13.3 ya integran medidas de protección ante Meltdown. La solución es tan simple como mantener tu equipo con la última versión del sistema operativo y las correspondientes aplicaciones.

  • ¿Cómo puedes protegerte de Spectre? No hay forma. Ninguna compañía tiene una forma real de protegerte contra Spectre, aunque todas las afectadas ya trabajan en conjunto para resolver el incidente de la forma más eficiente posible. Algunas actualizaciones podrían reducir el riesgo de que un software malicioso se aproveche de Spectre.

  • ¿Afecta la solución a Meltdown al rendimiento de mi equipo? Según Intel, la caída de rendimiento variará en función de la carga de trabajo que recaiga sobre el procesador. Algunos usuarios están reportando caídas de rendimiento muy bajas, mientras que otros reportan notorias diferencias después de aplicar los parches correspondientes. En cualquier caso: Intel asegura que futuras actualizaciones de software deberían disminuir los efectos.

  • ¿Qué ocurre con los servidores? En un mundo cloud, la mayor preocupación en torno a Meltdown y Spectre no es que un equipo personal se infecte: es que un servidor de una gran compañía (como Amazon o Google) sea víctima de esta vulnerabilidad y robe datos de millones de usuarios. Ahí está la mayor preocupación del sector tecnológico.

  • ¿Debería preocuparme por mi smartphone? Si haces un uso correcto —no instalas aplicaciones procedentes de tiendas no oficiales y no accedes a páginas web potencialmente comprometidas—, es bastante improbable que hayas sido una víctima de Spectre. La dificultad de explotar esta vulnerabilidad junto con las medidas de seguridad y el entorno seguro en el que trabajan los dispositivos móviles les aporta un grado extra de seguridad respecto al resto de equipos. Aun así: precaución.