Saltar al contenido

Una guía de la CPA para abordar el tema del espectro y el deshielo

En lo que va de año, el mundo de la tecnología ha estado muy atareado con dos importantes fallos de seguridad que se han descubierto recientemente en casi todas las computadoras, teléfonos inteligentes y navegadores de Internet producidos en las últimas dos décadas.

Estas vulnerabilidades, denominadas “Spectre” (CVE-2017-5715 y CVE-2017-5753) y “Meltdown” (CVE-2017-5754), hacen posible que un script malicioso ejecutado por los hackers pueda acceder a datos como contraseñas, claves de cifrado y otros datos sensibles que normalmente no son accesibles. Las fallas han existido en los chips de computadora que se fabricaron desde 1995 y fueron descubiertos en 2017 por múltiples investigadores de seguridad.

Una guía de la CPA para abordar el tema del espectro y el deshielo
Una guía de la CPA para abordar el tema del espectro y el deshielo

Estas fallas hacen que los editores de software y los fabricantes de hardware trabajen horas extras para actualizar su software para estos problemas de seguridad. He implementado las correcciones en una variedad de computadoras, y el proceso de actualización de sus computadoras probablemente requerirá actualizaciones de sus navegadores web, el sistema operativo de su computadora y posiblemente el BIOS y otros firmware de su hardware.

Si bien es esencial que instale estas actualizaciones para proteger la información confidencial que tiene en su computadora (incluyendo sus nombres de usuario, contraseñas y claves de cifrado), algunas fuentes también informan que estos parches harán cambios que podrían ralentizar su computadora hasta un 20% en algunas computadoras, y otras fuentes informan que los parches causaron reinicios inesperados en otras computadoras.

Los parches de Spectre y Meltdown son abundantes y será un trabajo para ti y/o tu profesional de la informática aplicar estas actualizaciones. Tengo cuatro ordenadores con Windows y dos con Linux que uso regularmente, y el proceso de actualización ha llevado mucho tiempo.

Mi Microsoft Surface Book fue probablemente el más fácil de actualizar, ya que Microsoft sacó el firmware y las actualizaciones del sistema operativo a través de Windows Update. Mi segundo portátil, un Dell Latitude E7270, requirió una actualización del BIOS desde el sitio web de Dell y estoy en proceso de actualizar una computadora de escritorio y un servidor mientras escribo este artículo.

Desafortunadamente, algunas de las actualizaciones de la BIOS para mi servidor Windows no están disponibles en Dell en este momento (y ninguno de los administradores de paquetes de Linux han sido actualizados para este problema), así que probablemente no estaré completamente parcheado hasta al menos principios de febrero.

Los esfuerzos de mitigación se han visto frenados por una serie de actualizaciones chapuceras, entre ellas una de Microsoft que, según se informa, hizo que algunas computadoras que ejecutan chips AMD no pudieran arrancar, y otro problema con las actualizaciones de Intel que hace que algunos procesadores antiguos se reinicien espontáneamente con mayor frecuencia. Las principales actualizaciones de Microsoft para Windows para estos problemas se publicaron el 3 y 4 de enero.

El MacOS, IoS y tvOS de Apple han sido parcheados en versiones posteriores a iOS 11.2,2, macOS 10.13.2 y tvOS 11.2, pero recuerda que puede que no consigas parches para dispositivos más antiguos que no puedan ejecutar las versiones actuales del sistema operativo. (El discurso de Apple sobre Meltdown y Spectre está aquí).

Nota: Para mis hermanos y hermanas “técnicos” de ahí fuera, se espera que las actualizaciones del sistema operativo de las computadoras de 64 bits con Linux se publiquen a finales de enero, e Intel ha publicado recientemente nuevos archivos de datos de microcódigos que pueden ser instalados en los hosts de Linux – aunque estoy esperando que estén en los paquetes “oficiales” de mi distribución de Linux.

Como los parches para Android tienen que ser aprobados por los transportistas, no estamos seguros de cuándo saldrán los parches para sus usuarios. Es de esperar que no haya parches disponibles para muchos dispositivos Android más antiguos. Hay un artículo y una tabla de referencia sobre este tema aquí.

Si utiliza aplicaciones alojadas (por ejemplo, si ejecuta su software fiscal sobre CITRIX o Servicios de Escritorio Remoto (RDS)), debe confirmar con su proveedor de alojamiento que ha implementado las actualizaciones necesarias en sus servidores. Al igual que yo, es posible que no hayan podido obtener las actualizaciones necesarias de los editores, y no estará a salvo de estas vulnerabilidades hasta que los parches estén disponibles y en su lugar.

Hay una serie de desafíos adicionales que enfrentarás cuando actualices tus ordenadores con Windows:

  • Si ha implementado la utilidad de cifrado del disco duro del Bitlocker de Windows en el disco de arranque del equipo, debe introducir la clave de recuperación del Bitlocker después de completar la instalación de las actualizaciones del BIOS/firmware. La unidad se identificará normalmente con un código hexadecimal de ocho caracteres (por ejemplo, 4FA11873). Este código, que consta de ocho secuencias de seis dígitos (un total de 48 números – algo así como “136444-523886-445027-342958-130900-281501-125829-330495”), suele guardarse como un archivo que comienza con las palabras “BitLocker Recovery Key” en la cuenta OneDrive de un usuario o puede añadirse a la cuenta Azure Active Directory de un usuario.
  1. Deberías obtener este código ANTES de instalar la actualización de la BIOS haciendo una copia de seguridad desde tu ordenador como se detalla en el artículo enlazado.
  2. Si se queda fuera del equipo y no puede encontrar la clave de recuperación de BitLocker, Microsoft tiene un buen artículo de soporte que enumera algunos de los lugares donde puede haber almacenado esta información.
  • El proceso de parcheo de Windows se hace aún más complejo en el sentido de que algunas aplicaciones antivirus impedirán la instalación de las actualizaciones en tu ordenador – más sobre esto en ZD NET o un artículo más técnico en Microsoft.

Los sitios de apoyo de EE.UU. para los navegadores web más populares son los siguientes:

  • Apple Safari
  • Google Chrome
  • Mozilla FireFox
  • Microsoft Edge
  • Microsoft Internet Explorer
  • Es probable que tenga que localizar y descargar el BIOS adecuado para su computadora desde el sitio principal de soporte del fabricante. Los sitios de soporte de los principales fabricantes son los siguientes:
  • Manzana: https://support.apple.com
  • Dell: https://support.dell.com, o la página especial de Fusión/Espectro aquí
  • HP https://support.hp.com o la página especial de Fusión/Espectro aquí
  • Lenovo https://support.lenovo.com
  • Dispositivos de superficie de Microsoft: https://support.microsoft.com/en-us/products/surface-devices

Una vez que haya instalado las actualizaciones necesarias para su computadora, querrá comprobar y ver si las vulnerabilidades se han parcheado correctamente en su computadora. Se ha creado un pequeño número de utilidades y scripts gratuitos que le ayudarán a comprobar los resultados de su trabajo:

  • Los usuarios de Windows y Windows Server pueden utilizar una de las siguientes herramientas:
  • Inspectre de Gibson Research (sólo debe descargarse de grc.com)
  • Windows PowerShell Script de Microsoft
  • Los usuarios de Linux pueden leer este artículo que detalla cómo puede comprobar la preparación de su sistema operativo.
  • Desafortunadamente, no podemos encontrar una herramienta específica de Apple para probar las vulnerabilidades. El mejor consejo para nuestros amigos de Apple es que se familiaricen con las últimas versiones de Safari, MacOS, iOS y tvOS.

Esta vulnerabilidad está cerca de una situación de “no ganar” para la mayoría de los contables y profesionales de la informática – es una vulnerabilidad de seguridad que no hará más dinero para su empresa, y afecta a los teléfonos inteligentes, ordenadores y tabletas. El problema se anunció en un momento de mucha actividad (fin de año/temporada alta), requiere mucho trabajo para mitigarlo, y las limitadas correcciones disponibles en este momento tienen algunos errores reconocidos que tal vez quiera evitar.

Mientras aconsejo a mis clientes que parcheen lo antes posible para mitigar las amenazas a la seguridad, creo que debería consultar con su profesional de TI cuando tome la decisión de cuándo y cómo actualizar los ordenadores de su empresa.

Como en muchos dilemas de la vida, no hay una respuesta perfecta sobre cuándo actualizar: si actualizas demasiado pronto, puedes crear problemas de fiabilidad para algunos usuarios, mientras que si esperas demasiado tiempo, puedes ser hackeado. Por favor, considera cuidadosamente tus riesgos y opciones mientras trabajas para mitigar este importante desafío de seguridad.

Para un seguimiento de esta guía, lea Actualización de la Guía para los CPA sobre Espectro y Deshielo.