FACUA.org Versión sólo texto  
Imprimir
Imprimir
FACUA.org - España - 5 de enero de 2018

Meltdown y Spectre: FACUA estudia acciones legales por los fallos de seguridad en ordenadores y móviles

Exige transparencia a toda la industria. De confirmarse que los parches para Meltdown provocasen una ralentización sustancial, reclamará el pago de compensaciones, la sustitución de las CPU o los equipos.

FACUA-Consumidores en Acción estudia acciones legales por los graves fallos de seguridad que han trascendido este 3 de enero en los procesadores de ordenadores personales, dispositivos móviles y servicios en la nube para asesorarlos y desarrollar movilizaciones en defensa de sus derechos.

El equipo jurídico de FACUA está analizando las posibles actuaciones ante estas vulnerabilidades, bautizadas como Meltdown y Spectre. Frente a las enormes dosis de opacidad en las que están incurriendo buena parte de los fabricantes de procesadores, equipos y software, algunos de los cuales ni siquiera han emitido un comunicado ni contestan a los periodistas, la asociación exige la máxima transparencia.

Así, FACUA reclama tanto a los creadores de procesadores como a los principales fabricantes de ordenadores y software -Intel, AMD, ARM, Microsoft, Apple, Google, Qualcomm, Samsung, HP, Acer, Dell...- que aclaren a qué equipos afectan las dos vulnerabilidades detectadas, cómo y en qué plazos van a ofrecer soluciones y qué perjuicios provocarán éstas al rendimiento de ordenadores personales y dispositivos móviles.

Meltdown y Spectre son las dos mayores vulnerabilidades de la historia de la computación y fueron desveladas el 3 de enero gracias a The Register, The New York Times y los propios investigadores. Para la primera ya están apareciendo las necesarias actualizaciones de sistemas operativos y navegadores, mientras para resolver la segunda, de momento, no hay anunciada ninguna medida.

Compensaciones si hay ralentización sustancial

En el caso de Meltdown, las primeras informaciones que han trascendido indican que cuando se instalen los parches incorporados a las actualizaciones de los sistemas operativos, los equipos sufrirán una ralentización en su rendimiento de entre el 5 y el 30%, dependiendo de la antigüedad del procesador, las especificaciones técnicas del ordenador y el tipo de uso que se haga de él.

Si se confirma esta pérdida sustancial en la calidad, FACUA reclamará el pago de compensaciones económicas o la sustitución de los procesadores por otros nuevos y, de no ser posible, de los ordenadores.

Según los datos que han trascendido hasta la fecha, Meltdown afecta a los procesadores (CPU) fabricados por Intel desde 1995 –excepto los Intel Itanium y los Intel Atom desarrollados antes de 2013-. Todavía no hay datos claros en relación a los procesadores AMD y ARM.

Las consecuencias de Meltdown

Meltdown obliga a los usuarios a actualizar sus sistemas operativos para incorporarles un parche que evite sus consecuencias: problemas de estabilidad de los sistemas operativos que pueden provocar que dejen de funcionar correctamente y, lo más grave, un agujero de seguridad que abre la puerta a ataques externos para robar información almacenada en el núcleo o kernel del sistema operativo, desde contraseñas a todo tipo de permisos para acceder a diferentes programas.

Al realizar algún trabajo con el ordenador -como crear o modificar documentos-, el programa utilizado tiene que acceder a la memoria del kernel. Lo hace cediendo al procesador (CPU) acceso temporal a esa memoria, produciéndose lo que se conoce como transición entre modo usuario y modo kernel. Es entonces cuando el fallo deja al descubierto partes de ese proceso, concretamente durante la función de ejecución especulativa, que predice qué harán los programas en los siguientes pasos para ahorrar tiempo y recursos.

Qué provoca Spectre

La otra vulnerabilidad, Spectre, que podría afectar a la práctica totalidad de equipos existentes en el mundo, es relativamente parecida a Meltdown, pero con tres diferencias suntanciales: es más difícil de resolver -de momento no existen soluciones-, aunque también es más difícil de ejecutar y lo que provoca es que permite que la ejecución especulativa dé acceso a la memoria usada por otras aplicaciones que generalmente está protegida y tiene un acceso restringido.

Es decir, mientras que Meltdown permite a un software malicioso acceder a direcciones de memorias que son sólo accesibles por el núcleo del sistema operativo, Spectre abre el acceso a bloques de datos y direcciones de memoria reservadas y únicamente accesibles por otras aplicaciones.