Ayer fue el tema del día en la actualidad tecnológica y sus consecuencias son tan graves que apunta a ser una de las grandes, y más duras, noticias del año y un problema con el que lidiar para los próximos diez años como apuntan algunos expertos en seguridad informática. Lo que empezó como una acusación puntual a Intel ha terminado convirtiéndose en una bola más grande donde cualquier ordenador está afectado y sí, esto también concierne a Android.
Casi cualquiera de nuestros móviles o tablets con el sistema operativo de Google llevan una arquitectura ARM en el procesador la cual puede sufrir cualquiera de las dos vulnerabilidades de seguridad que ayer se hicieron públicas: Meltdown y Spectre. No es sólo un problema de Intel y no importa si tu procesador es de Qualcomm, MediaTek, Huawei o Samsung, todos son susceptibles de sufrir un ataque. La buena noticia es que ya se está trabajando en una solución, pero no llegará al mismo tiempo a todo el mundo.
Así son Spectre y Meltdown, los dos grandes fallos de seguridad
En la introducción hablábamos de cómo se han descubierto dos fallos de seguridad. Por un lado tenemos a Meltdown que afecta, de momento, exclusivamente a los dispositivos con procesadores Intel y lo que hace es 'romper' la capa que hay entre las aplicaciones y el sistema. Entrando más en detalle significa que una orden de bajo nivel puede leer la memoria del kernel y acceder a toda la información que hay almacena de forma muy sencilla y sin dejar huella.
Es cierto que Intel a día de hoy apenas tiene presencia en Android pero al ser un fallo de diseño en los procesadores el sistema operativo de Google también es vulnerable. En segundo lugar tenemos el error más grave y que en este caso afecta a todas las arquitecturas ARM: Spectre. En este caso esta vulnerabilidad lo que hace es romper la línea que hay entre las diferentes aplicaciones y acceder a toda la información que hay almacenada en la memoria sin ninguna dificultad.
Dicho de otro modo: una aplicación maliciosa puede ejecutar código que le permita ver la memoria de otra app y toda la información que contenga, desde datos personales a contraseñas. Cualquier cosa que esté registrada en la memoria será del acceso de ese malware con aspecto inocente. Nuestros compañeros de Xataka nos lo explican con mucho detalle en este artículo.
Un detalle muy importante y preocupante de este fallo lo tenemos en que Spectre también es, de momento, totalmente invisible y no hay manera de saber si ha actuado o no. Ésto hace que investigar sobre la vulnerabilidad sea difícil, ya se está poniendo solución al error en los procesadores con un parche de seguridad en Android pero al no dejar rastro es difícil saber si ha quedado resuelto o no.
Meltdown y Spectre, os los explicamos en vídeo
¿Cómo afecta esto a Android?
Ahora que hemos explicado los dos fallos de seguridad, merece mucho la pena leer sobre ellos en profundidad en Xataka, es hora de abordar la gran pregunta: ¿qué pasa con mi móvil? Los responsables al más alto nivel en hardware y software se han ido pronunciando desde ayer para informar sobre lo que está ocurriendo y cómo lo están abordando. Google ha saltado a la palestra y es que al ser un fallo que afecta a procesadores ARM e Intel (en menor medida) el asunto lo requiere, sobre todo si eres responsable del sistema operativo móvil más grande del mundo.
En un artículo en su blog oficial, los de Mountain View explican que ya detectaron estas vulnerabilidades hace tiempo y que en el caso concreto de Android se soluciona con el parche de seguridad 2018-01-05 SPL o, dicho de otro modo, con la actualización de seguridad de enero que de momento está llegando a los Nexus y Pixel así como dispositivos Android One como por ejemplo el Xiaomi Mi A1.
Como Google no es sólo Android, recalcan también que servicios como GMail, Calendar, Drive o Docs ya han sido parcheados y podemos utilizarlos sin miedo a que suframos un ataque de Spectre por esa vía. En su navegador Chrome dan una solución temporal que es la activación de "aislar sitios web" que se puede activar escribiendo chrome://flags en la barra del navegador pero advierten que puede afectar al rendimiento. Una nueva versión actualizada llegará dentro de poco.
Por añadir un poco más de tranquilidad a este asunto tan peliagudo, Google afirma que hacer ataques con Spectre y Meltdown en Android son muy difíciles y limitados por lo que a priori podemos respirar tranquilos. Ahora, hay que recordar que al ser ataques que no dejan rastros, nos sigue dejando un poco inquietos por lo que cualquier precaución que podamos tomar será bien recibida.
¿Qué ocurre si mi Android no es un Nexus o un Pixel?
Si has leído detenidamente hasta aquí habrás visto que Google ha especificado que el problema se soluciona con el parche de seguridad de enero por lo que todos sus dispositivos Nexus y Pixel están protegidos. Ahora bien, eso es sólo una pequeña parte de todos los móviles y tablets Android que hay en todo el mundo. ¿Qué ocurre con ellos? Que la actualización va a tardar en llegar o en el caso de dispositivos con algo de solera, dos años o más, es probable que no reciban ningún tipo de parche.
Google ha creado la solución pero ahora la pelota está en el tejado de los fabricantes y tienen que ser ellos los que empiecen a mover ficha para servir esta actualización tan importante. No sabemos cuándo ocurrirá y aquí tendrá que ser cada compañía quien se pronuncie y diga cuándo y a qué modelos llegarán. Los de Mountain View nos intentan tranquilizar diciendo que es difícil de ejecutar y tiene un alcance limitado pero la solución tiene que ser otra.
En Xataka | Meltdown y Spectre: así es la pesadilla en la seguridad de las CPUs de Intel, AMD y ARM