Investigadores acusan a Intel de ignorar un fallo de seguridad durante más de un año
Intel ignoró durante meses una brecha de seguridad en sus procesadores que le había sido notificada por un equipo de especialistas. El pasado mes de mayo la compañía publicó un parche para resolver diferentes vulnerabilidades que investigadores de la Vrije Universiteit Amsterdam habían hallado en sus procesadores, dando a entender a sus clientes que todos los problemas estaban resueltos. Pero, según ha informado este mes el mismo equipo de expertos, ese parche sólo abordaba sólo algunos de los exploits que los investigadores habían señalado en septiembre de 2018.
Tuvieron que pasar otros seis meses antes de que Intel publicase un segundo parche para solucionar algunas de las vulnerabilidades que afirmaban haber resuelto en mayo. “El mensaje de Intel fue que todo está arreglado”, ha afirmado Cristiano Giuffrida, profesor de informática en la Universidad de Amsterdam, “pero sabíamos que no era exacto”. Las brechas de Intel, al igual que otras vulnerabilidades importantes que la comunidad de seguridad informática ha descubierto recientemente, estaban en los chips informáticos. Éstas habrían permitido a un atacante extraer contraseñas, claves de cifrado y otros datos confidenciales de los procesadores (tanto en ordenadores de sobremesa como portátiles) y de servidores en la nube.
Las afirmaciones hechas por los investigadores son indicativas de las tensiones que pueden surgir entre las compañías tecnológicas y los expertos en seguridad que analizan sus productos, buscando fallos que hagan que sistemas muy extendidos sean vulnerables a los ataques. Este tipo de expertos independientes a menudo acuerdan no revelar las vulnerabilidades en público y comunicarlas en privado a las empresas que los fabricantes puedan publicar un parche. Habitualmente, ambas partes coordinan después un anuncio público de la solución. Pero en este caso los investigadores holandeses denuncian que Intel ha abusado del proceso. De hecho, afirman que el nuevo parche publicado el martes todavía no arregla otro defecto del que advirtieron a Intel en mayo.
Intel ha reconocido que el parche de mayo no solucionó todos los problemas que los investigadores les habían señalado. Ni tampoco el que publicó a principios de octubre. Pero “reducen en gran medida” el riesgo de ataque, según ha asegurado un portavoz de la compañía. Aunque no aborda directamente algunas de las quejas de los investigadores, Intel explica estar preparando una serie de parches adicionales que publicará en lo sucesivo. “Esto no es algo que sea una práctica habitual, pero nos hemos dado cuenta de que es un tema complicado”, afirman.
Problema en los chips
Los investigadores holandeses habían permanecido en silencio durante los últimos meses en relación a los problemas que habían descubierto, mientras Intel trabajaba en la solución que publicó en mayo. Posteriormente, cuando Intel se dio cuenta de que el parche no lo arreglaba todo, les pidió que guardasen silencio durante seis meses más, además de solicitar que modificaran un artículo que planeaban exponer durante una presentación en una conferencia de seguridad, de forma que eliminase cualquier mención de las vulnerabilidades no parcheadas. Los especialistas explican que accedieron para evitar que las vulnerabilidades salieran a la luz sin que existiese una solución.
Después de informar a Intel sobre los defectos no corregidos antes de la publicación del parche en noviembre, la compañía volvió a pedir a los investigadores que permanecieran en silencio hasta que pudieran elaborar otro parche. Pero esta vez se negaron. “Creemos que ya es hora de informar al público que ni siquiera ahora Intel ha solucionado el problema”, dijo Herbert Bos, otro de los miembros del equipo.
Cuando los investigadores informaron de sus primeras vulnerabilidades a Intel en septiembre de 2018, mostraron exploits a través de una prueba de concepto: elaboraron un código malicioso que mostraba cómo se podía atacar con éxito cada vulnerabilidad. El equipo de respuesta de seguridad de Intel trabajó durante los siguientes ocho meses para verificar los hallazgos y desarrollar un parche, cuya publicación estaba prevista para el 14 de mayo. Sin embargo, cuatro días antes de la publicación, cuando la compañía proporcionó a los investigadores los detalles de la solución, los investigadores holandeses se dieron cuenta rápidamente de que el parche no abordaba todas las vulnerabilidades.