En mayo Intel y un grupo de investigadores de ciberseguridad revelaron la existencia de nuevos fallos de seguridad en las anteriores generaciones de microchips de la compañía. Inmediatamente, la noticia destapó un detalle especialmente preocupante: se había tardado más de un año en encontrar una solución para uno de los defectos.

Los investigadores afirman que alertaron a Intel sobre esta vulnerabilidad, llamada ZombieLoad, en abril de 2018, pero la solución al problema no se implementó hasta el mes pasado. A modo de comparación, las empresas de software normalmente tardan menos de 90 días en crear parches cuando descubren una vulnerabilidad en su código. Cuanto más tiempo un fallo permanezca sin resolver, mayor será la posibilidad de que un hacker lo encuentre.

El profesor de la Universidad de Tecnología de Graz (Austria) Daniel Gruss, uno de los investigadores que ayudó a descubrir ZombieLoad, cree que el proceso podría ser más rápido. En un correo electrónico a MIT Technology Review, Gruss asegura que cuando sus colegas y él informaron a Intel sobre la vulnerabilidad, proporcionaron una prueba de concepto verificada de forma independiente para demostrar que se trataba de un problema real. En mayo de 2018, dieron a Intel más detalles sobre este fallo, que podía haber permitido a los hackers obtener información confidencial sobre las aplicaciones que se ejecutan en sus ordenadores.

Intel afirma que cuando fue informada del problema, no pudo reproducir la vulnerabilidad que los investigadores habían identificado y, por lo tanto, necesitaban más pruebas para actuar. A principios de este año, finalmente reconocieron que efectivamente había una vulnerabilidad y e implementaron la solución.

Esta tensión subraya los difícil que resulta lidiar con fallos de hardware, los cuales suelen ser mucho más caros y difíciles de abordar que los problemas de software, lo que abre una ventana de vulnerabilidades que puede afectar a miles de millones de chips. Esta situación hace que todo el sistema pueda ser hackeado, desde los servidores de los centros de datos hasta dispositivos como tabletas y teléfonos móviles.

Desde que se filtraron de manera prematura los detalles de otro conjunto de fallos en los chips, llamados Spectre y Meltdown, a principios de 2018, la presión por crear una respuesta más rápida ha aumentado. El caos se produjo cuando las empresas se dieron cuenta de lo vulnerables que eran ante un posible ataque, y las compañías de chips se apresuraron a crear soluciones de software. Ese episodio dio más importancia a las vulnerabilidades de los chips, lo que probablemente animó a los hackers a buscarlos con más intensidad.

Cuando los investigadores encuentran un fallo de seguridad en el software o hardware, suelen informar de manera confidencial a la compañía en cuestión. La vulnerabilidad se mantiene en secreto mientras la empresa busca una solución, para no alertar a los hackers de su existencia. Luego, cuando la solución está lista, la compañía lanza una campaña para que la gente la aplique lo antes posible.

Este proceso, conocido como divulgación coordinada de vulnerabilidades (CVD, por sus siglas en inglés), funciona bastante bien para parches de software, y generalmente es un proceso que no suele alargarse más de 90 días. Pero sigue siendo demasiado tiempo para algunos riesgos relacionados con los chips.

También es cierto que son más complejos de tratar. Una familia de chips puede contener docenas de versiones, cada una de las cuales utiliza un software operativo conocido como microcódigo adaptado. La reparación de fallos requiere que todas las versiones actualicen su propio microcódigo.

Las soluciones para los agujeros en la seguridad del hardware también pueden incluir actualizaciones de los sistemas operativos, lo que significa que los fabricantes de chips deben colaborar estrechamente y en secreto con otras empresas para garantizar que su microcódigo revisado aún funcione en armonía con otro software antes de aplicar la solución.

Desde que se descubrieron Spectre y Meltdown, la industria de los chips ha realizado algunas mejoras en el proceso de CVD. El director general de Seguridad y Garantía de productos de Intel, Bryan Jorgensen, asegura que las comunicaciones entre las compañías involucradas para ayudar a resolver los agujeros de seguridad en sus chips solían fluir a través de Intel. Ahora, con frecuencia, pueden colaborar directamente para verificar que un parche funciona con sus sistemas interconectados.

Los parches para fallos de hardware a menudo requieren que las empresas actualicen tanto el microcódigo como el software del sistema operativo. Se trata de operaciones separadas, lo que aumenta el tiempo de implementar la solución. Jorgensen afirma que Intel ahora permite agrupar las actualizaciones para que puedan hacerse simultáneamente.

Este tipo de cambios son bienvenidos, pero todavía hay muchas otras áreas donde se puede hacer más. Por ejemplo:

1. Mejorar las relaciones con los investigadores de seguridad

Los expertos y los investigadores que encuentran e informan sobre fallos en los chips aseguran que los fabricantes de chips todavía guardan demasiados secretos sobre cómo los abordan. Eso puede generar desconfianza. Gruss cree que las empresas de hardware deberían proporcionar actualizaciones diarias a los investigadores. También sugiere que quizás una tercera parte neutra podría supervisar el manejo de los incidentes de ciberseguridad.

2. Establecer un plazo máximo de CVD de hardware

Un informe reciente del Centro sin ánimo de lucro para la Política y la Ley de Ciberseguridad (CCPL, por sus siglas en inglés) advierte que cuando un proceso para corregir fallos de hardware tarda más tiempo de lo normal, las empresas involucradas en el proceso de CVD podrían verse tentadas a tomar medidas unilaterales para proteger a sus clientes y sus propios intereses.

Eso podría provocar que los fallos queden expuestos antes de que los parches se prueben completamente. Acordar un marco de tiempo para lidiar con los agujeros de seguridad del hardware ayudaría. La industria de los semiconductores podría comprometerse ahora para establecer dicho plazo de CVD.

3. Educar a las personas sobre los riesgos

Crear parches de software no sirve de nada si la gente no los usa. "Los parches de software no se suelen usar mucho, pero los de hardware todavía menos", afirma el coordinador ejecutivo de CCPL y exdirector general de ciberseguridad del Consejo de Seguridad Nacional de EE. UU., Ari Schwartz.

Cosas tan simples como hacer que las personas reinicien sus routers con regularidad para que los chips reciban actualizaciones de software siguen siendo un desafío. Intel y otras compañías de chips han lanzado más programas para educar a la gente sobre los riesgos y cómo enfrentarlos, pero es necesario un esfuerzo aún mayor.

4. Trabajar más duro para eliminar los fallos en los diseños de chips

Las últimas generaciones de chips que llegan al mercado ya no son vulnerables a ataques como ZombieLoad y Spectre, gracias a los cambios en su funcionamiento. Pero siempre existe el riesgo de que surjan nuevos tipos de vulnerabilidades.

Para minimizarlo, los fabricantes de chips tendrán que dedicar más recursos a detectar debilidades en las nuevas generaciones de chips de silicio y a desarrollar diseños más seguros para sus semiconductores. Aumentar la inversión en prevención será doloroso para las empresas de esta industria tan intensamente competitiva, pero ahora que los chips están integrados en cada vez más dispositivos, desde los coches autónomos hasta los altavoces inteligentes en los hogares, el coste de los fallos de seguridad está aumentando drásticamente.