El descubrimiento de Spectre y Meltdown, los graves fallos que afectan a la mayoría de microprocesadores del mercado, ha puesto en alerta no sólo al sector de las Tecnologías de la Información sino también a la mayoría de empresas, que ven con preocupación cómo puede afectar a la seguridad de sus datos, especialmente los que están almacenados en la nube. Además, se ha anunciado que los parches que solucionan parcialmente estos problemas incidirán seriamente en el rendimiento de los dispositivos. ¿Cómo podemos saber hasta qué punto nuestros equipos están afectados?

En el caso de Spectre, la respuesta es fácil: la práctica totalidad de microprocesadores del mercado son vulnerables, aunque ARM y AMD en bastante menor medida que Intel. Respecto a Meltdown, es un fallo de diseño exclusivo de los chips Intel construídos a partir de 1995. El principal riesgo tanto de Spectre como de Meltdown es el robo de información en la memoria del dispositivo. Meltdown permite a un atacante local robar datos de la memoria del sistema, mientras que Spectre permite robar datos de cualquier aplicación, de forma remota.

Diversas pruebas de concepto han demostrado que atacantes avanzados podrían robar desde contraseñas hasta números de tarjetas de crédito, documentos o claves de sesión alojados en servicios en la nube o servidores corporativos. Las empresas que manejan información sensible serían las que estarían más en riesgo y no solo a nivel de portátiles o servidores, sino de cualquier dispositivo que tenga un microprocesador, como pueden ser teléfonos, tablets, centralitas, cámaras de vigilancia, controles industriales, domótica, incluso coches.

Los usuarios de Linux cuentan con un pequeño programa que analiza sus ordenadores y les informa de su grado de vulnerabilidad. Se puede descargar con esta instrucción, como superusuario:

Wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh

A continuación ejecutamos el script:

sudo sh spectre-meltdown-checker.sh

¿Y si soy vulnerable a Meltdown y Spectre?

En caso de ser vulnerables, la solución más efectiva sería reemplazar el microprocesador por otro que no esté afectado. Pero es difícil saber cuáles no lo están porque fabricantes como Intel siguen vendiendo chips con estos fallos y seguirán haciéndolo en los próximos meses, hasta que no hayan realizado los rediseños apropiados.

La solución más realista es pues instalar las actualizaciones de firmware que están sacando los principales fabricantes de chips y otros dispositivos con microprocesadores afectados, como los GPUs de NVIDIA, vulnerables a Spectre en las familias GeForce, Quadro y NVS. Según ha anunciado Intel, las mitigaciones que se están distribuyendo «inmunizarán» más del 90% de procesadores que tengan menos de 5 años de vida. Es recomendable contactar con el fabricante de los chips de nuestros dispositivos para preguntar qué actualizaciones tiene disponibles.

También los sistemas operativos afectados (Windows, Mac, Linux, Android e iOS) han lanzado ya actualizaciones de seguridad mediante sus canales de actualización automática para usuarios. Lo mismo han hecho los principales navegadores, dado que son una puerta de entrada para ataques que exploten remotamente Spectre usando código Javascript. Los servidores corporativos y virtuales están recibiendo también poco a poco los correspondientes parches.

El problema de estos parches es que se dice que provocarán una bajada del rendimiento de los ordenadores, que podría llegar al 30% en Windows y 17% en Linux, aunque posiblemente sea mucho más bajo. En todo caso afectará especialmente a servicios en la nube y servidores corporativos, no a los usuarios de a pie. Respecto a Windows, los más afectados serán los dispositivos que usen Windows Server, que verán bajar el rendimiento de forma importante cuando se necesite poder de procesamiento.

Otro gran conjunto de dispositivos afectados son los que corren software obsoleto, como Windows XP, y los Android que no ofrecen actualizaciones de seguridad. Por otra parte, en grandes organizaciones donde no sea posible parchear de la noche a la mañana es muy recomendable insistir en la monitorización de la red corporativa, para prevenir y detectar estos ataques.