Con la creación de un virus capaz de afectar el corazón de los ordenadores de Apple, se aviva el debate sobre la seguridad de los usuarios finales
Hace dos semanas en esta sección me referí a graves vulnerabilidades del sistema operativo Android, que podrían dejar inservibles o a merced de hackers al 95 por ciento de los 950 millones de terminales móviles que lo utilizan actualmente.
Todavía estaba fresca la impresión de ese artículo, cuando analistas de seguridad hicieron saltar las alarmas en otra dirección no menos interesante, que hoy les traigo a colación.
Cuando se habla de virus informáticos que afectan a ordenadores de escritorio y portátiles —un tema que desgraciadamente no se agota—, la sabiduría popular asegura que los usuarios de Apple pueden presumir de poseer sistemas casi invulnerables. Y digo «casi», porque en la Informática nada es infalible, como ya veremos.
Varias han sido las causas para esta leyenda, que se mantuvo inalterable hasta que se presentó este 6 de agosto el primer virus capaz de afectar una Mac con resultados estremecedores.
Datos de Stat Counter, un sitio dedicado al análisis del uso de Internet en el mundo, afirman que la mayoría de los usuarios de computadoras utiliza como sistema operativo a Windows en sus diferentes versiones, con casi un 74 por ciento. Este es, a su vez, uno de los más atacados por los creadores de programas malignos. Por eso se afirma que un ordenador con Windows sin antivirus, es casi un suicidio.
En cuanto a virus informáticos, el sistema operativo GNU/Linux sigue siendo el único capaz de no incubar programas malignos, no debido a su poca adopción —un mito altamente extendido—, sino a la arquitectura del sistema operativo que, básicamente, impide la transmisión y el funcionamiento de ellos.
Mac OS X, el sistema operativo de Apple, podría compararse en este aspecto con GNU/Linux. La diferencia radica en que a pesar de no infestarse con los virus, sí es capaz de almacenarlos y transmitirlos a otros dispositivos, como los que utilizan Windows. Visto así, es también un sistema muy seguro para sus usuarios.
Pero dos investigadores estadounidenses han roto este nirvana de paz: Mac también se infecta a partir de vulnerabilidades dejadas de la mano desde el momento del ensamblaje de los equipos, que permiten a los hackers tomar su control prácticamente de por vida. Estas fallas podrían afectar a computadoras con sistema GNU/Linux, aunque esto último no se ha comprobado todavía.
El virus que afecta a las computadoras Mac es una creación de laboratorio llamada Thunderstrike 2, y sus efectos nocivos se descubrieron por «casualidad».
Xeno Kovah y Corey Kallenberg, consultores de la firma de seguridad LegbaCore, encontraron una serie de fallas en los chips electrónicos en los cuales se instala el BIOS de numerosos fabricantes de computadoras como Dell, Lenovo, HP o Samsung. El BIOS —siglas en inglés de Sistema Básico de Entrada/Salida— es el primer programa que se ejecuta cuando arranca una computadora. En el caso de una Mac, se conoce desde 2006 como EFI —siglas en inglés de Interfaz Extensible de Firmware.
Kovah y Kallenberg dijeron adiós a la invulnerabilidad de Mac al lograr que Thunderstrike 2 penetrase la EFI y se alojase allí de forma casi indefinida al ser muy difícil de borrar, según la web de LegbaCore.
Como la EFI se instala en la fábrica y opera con parámetros diferentes al software que regularmente usamos, los antivirus convencionales casi nunca escanean a ese nivel de profundidad. Al mismo tiempo, la mayoría de los malware buscan hacerse con el control del sistema operativo, por lo que operan en ese entorno, lo que permite a los antivirus encontrarlos. En caso extremo, un formateo del disco con el sistema operativo es suficiente.
Con Thunderstrike 2 es diferente. Además de pasar desapercibido para todos los antivirus, se ubica en un componente físico singular. Cambiar el software de este chip es una tarea harto difícil y requiere de conocimientos de electrónica para un proceso conocido como «flasheo», que la mayoría de los usuarios no poseen, explicó Kovah a la publicación especializada Wired. Por eso, agregó, la solución para la mayoría de los afectados sería botar el equipo. Con un precio de más de 1 500 dólares por unidad, deshacerse de una Mac es cuando menos traumático para la mayoría de los mortales.
Si Apple se caracteriza por presentar productos de alta gama, ¿cómo lograron los investigadores penetrar una Mac a un nivel tan profundo con este virus? Kollenberg explicó en LegbaCore que los fabricantes de ordenadores, incluido Apple, no encriptan el firmware de la EFI o sus actualizaciones, y tampoco incluyen funciones de autentificación que impedirían a los virus reescribir código. Thunderstrike 2 lo que hace es precisamente eso, reescribir el código.
El escenario presentado por este virus se complejiza más por el hecho de que es capaz de replicarse en un abanico de dispositivos periféricos, como enrutadores y memorias USB, lo que permite una amplia dispersión sin que nadie se entere, y prescinde de la necesidad de tener a las Mac en red.
Esta «habilidad» es potenciada por el uso de las memorias de lectura de los periféricos, que tampoco están protegidas digitalmente.
Sus creadores informaron que los atacantes podrían diseñar virus capaces de replicarse tal y como si fueran la EFI, pero con puertas abiertas al control silencioso del equipo. Otra función maligna sería la de mimetizar la EFI para simular que todo está bien dentro del equipo, mientras acceden a los datos personales de sus dueños.
La investigación de LegbaCore es importante porque ha puesto el foco de atención sobre un asunto de seguridad para los usuarios, que no solo somos nosotros los ciudadanos. También implica a gobiernos, empresas y sistemas que se usan o podrían usarse en la implementación de servicios cotidianos.
Recordemos el caso de Stuxnet, el virus que se instaló en las centrales nucleares de Irán, capaz de desestabilizar el sistema al punto de volarlo en pedazos si así lo deseaban sus creadores, algo que habría sido una desgracia sin precedentes. En este sentido Thunderstrike 2 es peor, porque no deja rastros, lo que sí hacía Stuxnet en el registro de Windows.
Documentos revelados por Edward Snowden, el ex contratista de la Agencia de Seguridad Nacional de Estados Unidos que expuso cómo se llevan a cabo programas masivos de espionaje, demuestran que esa entidad ha creado sofisticados métodos para quebrar el firmware de los dispositivos. Las afirmaciones de Snowden han sido refrendadas por los laboratorios Kaspersky, que cuentan con uno de los más potentes programas antivirus del mundo. Thunderstrike 2 es otra gota más en esa copa de vulnerabilidades.
Xeno Kovah y Corey Kallenberg encontraron hasta el momento cinco fallas en Mac y comentaron que Apple ha puesto parches de seguridad a dos de ellas. Las otras tres esperan por ser resueltas.
Los fabricantes de hardware podrían proteger a los usuarios de situaciones como esta, apunta Kollenberg, si además de encriptar el firmware añaden un interruptor de protección contra escritura para que terceros no lo actualicen sin consentimiento del usuario.
Una contramedida adicional, agrega el experto, implicaría que los proveedores permitan a los usuarios leer fácilmente el firmware de su máquina y determinar si ha cambiado desde la instalación. Si así fuera, los usuarios deberían tener la capacidad de hacer un «flasheo» de forma fácil.
A juicio de Kollenberg, hoy es necesario crear conciencia entre los usuarios para que estos exijan a los fabricantes más seguridad y conozcan sobre el tema. Mientras eso no se haga —sentenció el experto—, la situación seguirá como está.