Se ha revelado que las autoridades estadounidenses se enteraron de las fallas de los chips Spectre y Meltdown a través de los informes de los medios en lugar de ser informados directamente por el fabricante estadounidense de chips Intel.

¿Qué defectos de chip?

En enero, investigadores del Proyecto Cero de Google, la Universidad Técnica de Graz en Austria y la empresa de seguridad Cerberus Security en Alemania, descubrieron que casi todos los procesadores/microchips modernos presentan dos importantes fallas de seguridad. Los defectos de hardware se denominaron 'Spectre' y 'Meltdown'.

Meltdown afecta a todos los procesadores Intel, ARM y la mayoría de los demás en el mercado moderno. Se cree que Meltdown podría afectar a todos los procesadores desde 1995, excepto Intel Itanium e Intel Atom antes de 2013. La falla podría, por ejemplo, dejar las contraseñas y los datos personales vulnerables a los ataques.

Descubierto a través de los medios

En esta última revelación, surgió la noticia de que Intel no informó a los funcionarios de seguridad cibernética de EE. UU. sobre la falla en sus procesadores hasta después de que la noticia se filtró a los medios.

La empresa matriz de Google, Alphabet, ha dicho que informó a Intel, AMD y ARM sobre las fallas del chip en junio de 2017, y los tres fabricantes de semiconductores/chips recibieron 90 días para corregir las fallas antes de revelar el descubrimiento de las fallas y la solución al público. Según Alphabet, y de acuerdo con la 'práctica estándar', había dejado que las empresas decidieran si debían informar a los funcionarios gubernamentales sobre las fallas de seguridad.

extendido

En respuesta, Intel da una versión ligeramente diferente de los hechos. Según Intel, Google Project Zero había optado por ampliar el plazo de 90 días hasta el 9 de enero de 2018, e Intel había acordado mantener la información confidencial hasta esa fecha.

No hay exploits de todos modos

Aunque existe un acuerdo general de que las fallas de seguridad ahora están presentes en casi todos los dispositivos modernos, incluidos todos los iPhone, iPad y Mac, Intel se apresuró a enfatizar que no ha habido vulnerabilidades conocidas hasta la fecha.

¿Qué significa esto para tu negocio?

Es preocupante que se permita a la 'práctica estándar' en la industria guardar silencio sobre un problema de seguridad durante 3 meses por parte de los funcionarios gubernamentales de seguridad cibernética y del público. También es preocupante que hayan sido necesarios los periodistas para descubrir el problema, especialmente cuando se considera la magnitud de las fallas, es decir, que están presentes en casi todos los procesadores modernos.

Ha habido demasiadas historias de empresas grandes y conocidas que optan por guardar silencio el mayor tiempo posible sobre los riesgos o las infracciones de seguridad cibernética o de datos, y todos estos episodios sirven para socavar la confianza de que las empresas actuarán de manera responsable, sin la amenaza de nuevas regulaciones y enormes multas (como las que traerá el RGPD).

El mejor consejo para las empresas ahora es instalar todos los parches disponibles para las fallas sin demora y asegurarse de que está recibiendo actualizaciones para todos sus sistemas, software y dispositivos.

La aplicación regular de parches es un buen hábito básico de seguridad que se puede adquirir de todos modos. La investigación del verano de 2017 (Fortinet Global Threat Landscape Report) muestra que 9 de cada 10 empresas afectadas están siendo pirateadas a través de vulnerabilidades sin parches, y que muchas de estas vulnerabilidades tienen 3 años o más y ya hay parches disponibles para ellos.