Meltdown y Spectre: lo que necesitas saber

¿Qué son y cómo me protejo?


El año inicia con malas noticias, aunque todo inició en junio de 2017, cuando la comunidad de investigadores y expertos dieron a conocer una serie vulnerabilidades de hardware que afectan a la mayoría de los procesadores —en especial de Intel— fabricados durante las últimas 2 décadas: Meltdown y Spectre. Estas noticias surgieron de forma catastrófica y ocuparon los titulares de los medios como una señal del apocalipsis, sin embargo, no todo está perdido.

Las fallas son de hardware y su solución no es tan sencilla como parece, pero los gigantes de la tecnología han liberado parches que arreglan parcialmente los problemas. Microsoft liberó una actualización el pasado de 3 enero para dispositivos con Windows 10 y compañías como Google y Apple han aplicado correcciones a sus programas y servicios de nube o están próximos a corregirlos. Seguramente también has escuchado que Nvidia y otras empresas han liberado actualizaciones de software que mitigan el inconveniente a nivel de software, aunque los procesadores gráficos estén exentos del problema.

Meltdown y Spectre

De entrada, debes saber que los procesadores actuales utilizan técnicas y paradigmas de diferentes tipos para ejecutar código de forma veloz. Se trata de un proceso complicado donde recientemente se descubrió que es posible explotar las características de diseño de estos equipos para ejecutar código y acceder a áreas con información sensible.

Meltdown rompe el aislamiento del kernel entre aplicaciones de usuario y el sistema operativo. Este ataque permite que un programa acceda a los contenidos de la memoria y a los secretos del sistema operativo. Spectre, por su parte, rompe el aislamiento entre aplicaciones y permite a un atacante engañar a un programa para filtrar sus secretos. El problema se debe al funcionamiento fundamental de los procesadores, que en un afán de operar como deben, engaña al sistema y lo hace vulnerable. En resumen, ambos ataques pueden ser usados —teóricamente— para robar información sensible de los equipos.

Es posible engañar a estos paradigmas para ejecutar código que no debería ejecutarse

Los procesadores se han construido para emplear funciones como la ejecución especulativa, ejecución fuera de orden y la predicción de saltos, técnicas que predicen las ejecuciones y aprovechan los ciclos de instrucción para mejorar el desempeño de los equipos. De esta forma, se descubrió que es posible engañar a estos paradigmas para ejecutar código que no debería ejecutarse; sin embargo, debido al diseño del procesador, el código es aprobado como válido. Básicamente, si logras que un programa corra en un equipo, teóricamente puedes obtener algunas contraseñas almacenadas en él.

Mientras que Meltdown puede ser mitigado con parches —que los grandes de la tecnología han liberado con el paso del tiempo—, Spectre es una historia completamente diferente que no tiene solución sencilla y podría tardar varios años en ser corregido. Las correcciones que se han liberado sólo mitigan el ataque a corto plazo, es decir, dificultan la tarea de explotar la vulnerabilidad, pero no lo impiden. Spectre afecta a diversos servicios en la nube, así que nosotros —como usuarios y consumidores— podemos dormir relativamente tranquilos. Como dato final, Spectre no solo afecta a procesadores AMD, ARM, Intel, otros y también a smartphones.

¿Qué debo hacer?

Lo ideal para eliminar por completo estos errores es comprar un equipo libre de ellos en el futuro, pero si como aún no es posible, lo sensato es actualizar todo el software. El pasado 3 de enero Microsoft liberó de forma automática la actualización KB4056892 que mitiga los problemas de Meltdown. Para usarlo sólo debes visitar el apartado de actualizaciones automáticas y aceptar el parche, en caso de que tu equipo no se actualice automáticamente.

Asimismo, debes actualizar tus navegadores de Internet. Asegúrate de que utilizas la versión 57 de Firefox y activa las medidas necesarias en Chrome (escribe en la barra de dirección y activa la opción: chrome://flags/#enable-site-per-process). Plataformas como Android han liberado actualizaciones de seguridad que mitigan el problema y Apple ha hecho lo mismo con sus plataformas.

No dejes pasar esta actualización
No dejes pasar esta actualización

La preocupación principal sobre estas actualizaciones es que los parches de seguridad reducen el desempeño de los equipos hasta 30%, de acuerdo con diversos reportes. En nuestro caso, el gaming, no deberías preocuparte demasiado debido a que los videojuegos aprovechan ampliamente los recursos de la tarjeta de video y emplean pocas—o ninguna— llamadas a kernel durante su ejecución. Reportes iniciales indican que las contramedidas pueden afectar, en casos extremos, el desempeño de los juegos hasta 10%; la mayoría de los casos muestra una reducción apenas perceptible de un par de cuadros por segundo.

¿Estoy a salvo de Meltdown y Spectre?

Como usuarios comunes y corrientes, estamos relativamente a salvo de estos problemas. Como mencionamos, es obligatorio actualizar todo el software que ha liberado parches de seguridad, pero aún no podemos cantar victoria; debemos revisar periódicamente las actualizaciones para el sistema que mejoren la protección. Asimismo, si practicamos el cómputo seguro, es decir, evitamos visitar sitios de descargas extraños y verificamos 2 veces la fuente de una descarga, podemos estar tranquilos: nuestra información sensible está a salvo.

Conclusión

A pesar de que la industria se mueve con rapidez para mitigar el daño, es muy pronto para descansar y dar por sentado que estamos seguros. No es la primera vez que se descubre que el diseño fundamental de los equipos puede vulnerar la información; digamos que es un mal necesario para que su funcionamiento sea adecuado y veloz. Este acontecimiento terrible, sin embargo, es un recordatorio para que reforcemos las medidas de seguridad para que nuestra información esté a salvo.

Actualización

Microsoft detuvo la distribución de la actualización para los dueños de procesadores AMD Athlon y Sempron. La razón del fallo que impide a los equipos AMD iniciar la computadora aún no es clara, sin embargo, Microsoft culpa la falta de documentación de los equipos por parte de AMD.

Si eres usuario con un procesador AMD de las familias Athlon o Sempron, debes ingresar al apartado de actualizaciones automáticas en el panel de configuración detener las actualizaciones automáticas. Asimismo, es necesario que estés al pendiente para descargar un posible nuevo parche para mitigar el problema.

¿Qué procesadores están afectados por Meltdown y Spectre?

Puedes asumir que la gran mayoría de los procesadores resultaron afectados. Sin embargo, compilamos una lista de los CPU dentro de la categoría de consumo que están afectados.

La lista, de acuerdo con Intel:

  • Core i3 (45nm y 32nm)
  • Core i5 (45nm y 32nm)
  • Core i7 (45nm y 32nm)
  • Familia Core M (45nm y 32nm)
  • 2ª, 3ª, 4ª, 5ª, 6ª, 7ª y 8ª generación Intel Core
  • Core X-series para X99 y X299
  • Series Xeon 3400, 3600, 5500, 5600, 6500 y 7500
  • Familia Xeon E3, E3 v2, E3 v3, E3 v4 y E3 v6
  • Familia Xeon E5, E5 v2, E5 v3 y E5 v4
  • Familia Xeon E7, E7 v2, E7 v3 y E7 v4
  • Familia Xeon Scalable
  • Serie Xeon Phi 3200, 5200 y 7200
  • Serie Atom Processor C, E, A, x3 y Z
  • Series Celeron J, N y N

Deja tu comentario

 
 
  • Mejores

  • Nuevos