¿Por qué las vulnerabilidades de los procesadores Intel no son importantes?
Nos hemos acostumbrado que con periodicidad conocemos nuevos datos al respecto de las vulnerabilidades de los procesadores de Intel. Cuando aparece una de estas muchos son los que claman al cielo y aprovechan para atacar a la compañía. No solo a raíz de la vulnerabilidad, sino con la pérdida de rendimiento aparente de las mitigaciones correspondientes. La realidad es que estas vulnerabilidades son irrelevantes.
Me he propuesto explicaros el motivo por el cual creo que estas vulnerabilidades, para el común de los mortales, son irrelevantes. Y es que existen más riesgos navegando por la red que cualquiera de las vulnerabilidades detectadas en los últimos dos años. Incluso, nuestra seguridad y privacidad se ve comprometida de manera indirecta.
No se han encontrado productos.
Índice de contenido
¿Son fáciles de explotar las vulnerabilidades de los procesadores de Intel?
Hasta la fecha ninguna de las vulnerabilidades detectadas es fácil de explotar, se necesitan dos elementos: conocimientos técnicos y acceso físico a la máquina. Esto reduce el campo de acción y lo más importante, dejan al usuario medio fuera de dicho riesgo. Y es que no creo que vayamos por ahí con nuestro ordenador y se lo dejemos al primero que pasa.
La única que se podría explotar remotamente es la última conocida, LVI y aun así, los investigadores ya dijeron que era muy difícil de explotar. Por esto mismo, ninguna supone un riesgo para los usuarios medios. Otra cosa son las empresas, que sí podrían verse comprometidas, pero es muy acotado el riesgo.
A nivel técnico, estas vulnerabilidades no son cosa de broma, por supuesto, pero tampoco son para entrar en pánico. Tampoco es un motivo para apagar nuestro sistema, quitar la placa base y el procesador y cambiarlo por uno de AMD. Cada cual que compre lo que quiera, no va en esta línea, simplemente indicar que no corremos un grave riesgo.
Navegar por internet es más peligroso que cualquier vulnerabilidad
El simple hecho de navegar por internet tiene muchos más riesgos potenciales que cualquier vulnerabilidad de Intel. Acceder a páginas web de dudosa reputación, las páginas web de descarga de contenidos con ventanas emergentes o usar la misma contraseña en varios sitios son algunos de los riesgos, más críticos, que Spectre, Meltdown y el resto de vulnerabilidades juntas.
Debemos entender que usar nuestra contraseña para acceder a más de un sitio web es un riesgo. No es nada raro que se reporten accesos a datos de usuarios de manera masiva con robo de credenciales de acceso. Si usamos la misma contraseña en dos páginas web y se compromete la base de datos de una de ellas, ya tenemos el lío. Esto supone que el atacante podrá acceder y la segunda web y robarnos datos sin que nos demos cuenta.
Pero el mayor riesgo para nuestra seguridad procede de la mala praxis de seguridad de las empresas. No es raro que cada cierto tiempo se descubra una base de datos que no ha sido asegurada debidamente. Muchas bases de datos de usuarios o parte de ellas se exponen en la red sin la más mínima seguridad. Este no es un riesgo generado por nosotros, es generado por un tercero, más flagrante que cualquier vulnerabilidad.
La inseguridad física que nosotros generamos
Voy a explorar dos hechos que tomamos como normales, que hacemos habitualmente y que son un riesgo.
Hace unos meses se dio una oleada de robos a futbolistas mientras estaban disputando partidos de fútbol. Los cacos sabían todos los datos de sus viviendas porque las exponen en vídeo y foto en redes sociales. El atacante sabe cuándo no está en casa porque tiene partido o tiene que ir a entrenar y entraban a robar a sus casas.
Cuando viajamos nos gusta subir fotos y que todo el mundo vea donde estamos y lo bien que lo pasamos. En nuestro perfil seguro que hay fotos de nuestra casa, donde hay una ventana y se ven otros edificios o zonas. Con las sombras y viendo el entorno se puede saber la orientación de la casa y encontrar donde vivimos. Así que un delincuente podría entrar a robarnos cuando sepa que no estamos en casa.
Aunque pensemos que no pasa nada, esta es una gran exposición de nuestra privacidad y seguridad. Pero son acciones que hemos interiorizados y de las que no pensamos las implicaciones de seguridad.
No existe la privacidad en la actualidad
Si hablamos de privacidad, nos vendrá como primer elemento el smartphone o quizá las redes sociales. Pero no son los dos únicos factores que eliminan o minimizan nuestra privacidad a la hora de navegar. Seguro que si preguntamos a alguien por la calle (ahora no, cuando termine el estado de alarma) que es una cookie no sabrá responder o nos dirá que una galleta. Las cookie son el paradigma de la falta de privacidad, más que el GPS del smartphone o las redes sociales.
¿Qué datos recopila una cookie? ¿Cuánto tiempo está recopilando información una cookie? ¿Por qué se usan las cookie? Y un montón de preguntas difíciles de responder y que incluso, entre especialistas, no existe respuesta única. Pero todos los aceptamos sin leer la letra pequeña de las mismas, al igual como las redes sociales que usamos.
Claro, luego aparecen escándalos como el de Facebook y Cambridge Analityca y nos llevamos las manos a la cabeza. Una reacción hipócrita, porque todas las redes sociales hacen lo mismo y lo sabemos de sobra. Si no lo sabemos, es porque no nos interesa saberlo.
La nube, una solución al almacenamiento
¿Cuántos de vosotros tiene archivos, fotos o vídeos (o ambos) en Google Drive, One Drive, Dropbox y similares? Pues básicamente todos. Los usuarios solemos subir las fotos de nuestro smartphone a Google Photos para no perderlas. Muchos usamos Drive para trabajar o para clase, incluso las empresas los usan para compartir documentos entre trabajadores.
Pero, ¿son nuestros estos datos? Realmente no. Aunque borremos estos datos, nada nos garantiza que todo el contenido sea eliminado y no quede una copia. Todos los comandos de voz de Amazon Alexa o Apple Siri se almacenan de manera indefinida. Las fotos que subimos a redes sociales, aunque las borremos, se guardan indefinidamente. También pasa con todo lo que subimos a Drive, Dropbox y otras empresas.
¿Qué software tienes instalado?
Hoy en día podemos usar Windows 10 sin costes, podemos instalarlo sin necesidad de activarlo, quedando una marca de agua. Por 10-20 euros podemos comprar una licencia para Windows 10, ahorrando mucho dinero, ya que las licencias que vende Microsoft son carísimos. Pero, muchos prefieren activar Windows mediante herramientas de terceros que no saben la cantidad de agujeros de seguridad que dejan.
Avast es otro ejemplo de agujero de seguridad sin precedentes. El antivirus gratuito por excelencia es un brutal agujero de seguridad que roba nuestros datos. Seguro que aquellos que lo tienen instalado les sale el mensaje emergente de que nuestra IP está expuesta. Nos indica otros datos, como archivos que no aportan nada, etc, unos datos que nos han robado durante años sin decir nada.
Pero lo que más clama al cielo e indica lo idiotas que somos, instalando aplicaciones de terceros no certificadas. ¿Alguno se acuerda WhatsApp Gold? Esta aplicación no oficial fue instalada por muchos y era una copia falsa de la aplicación, hoy en día de Facebook. La aplicación era un agujero de seguridad brutal.
Desgraciadamente, podríamos poner muchos más ejemplos, pero considero que queda bastante claro.
Conclusión
Las vulnerabilidad de los procesadores de Intel son muy importantes, eso no lo pongo en duda ni un instante. Pero considero que se está siendo verdaderamente hipócrita con dichas vulnerabilidad. No digo que no se le pidan cuentas a Intel y tampoco que nos debamos tomar a risa estas vulnerabilidades, pero sí que son menos peligrosos que otros problemas de seguridad que están ahí desde hace mucho tiempo.
Pero no nos debemos engañar, hay riesgos muchos más graves a la seguridad y privacidad que no se tienen en cuenta. Y son precisamente estos riegos a los que deberíamos atender antes preocuparnos de otros elementos. También debemos tener muy claro que las vulnerabilidades de Intel son difíciles de explotar, muy difíciles.
Y sobre todo y para cerrar esto, exigir a Intel la corrección física en futuros chips de estas vulnerabilidades.