Intel puede haber estado trabajando con muchos actores de la industria tecnológica para solucionar los fallos de seguridad Meltdown y Spectre, pero a quién contactó y cuándo pudo haber sido problemático. Una fuente confiable del prestigioso diario Wall Street Journal afirma que Intel inicialmente le dijo a un puñado de clientes sobre las vulnerabilidades presentes en sus procesadores, incluidas las compañías tecnológicas chinas como Alibaba y Lenovo, pero no al gobierno de los Estados Unidos. Aunque si bien es cierto Intel tiene que hablar con estas compañías para coordinar las correcciones de las vulnerabilidades, el gobierno chino monitorea rutinariamente las conversaciones como estas, por lo cuál podría haber tomado conocimiento y explotado teóricamente los agujeros para interceptar datos antes de que los parches estuvieran disponibles.

Un portavoz de Intel no ha detallado a quiénes habría informado la empresa, pero dijo que la compañía no podía notificar a todos (incluidos los funcionarios estadounidenses) a tiempo sobre Meltdown y Spectre. Lenovo ha dicho que la información que le fue revelada estaba protegida por un acuerdo de no divulgación. Por su parte, Alibaba ha sugerido que cualquier acción de intercambio de información con el gobierno chino era “especulativa y sin fundamento”, pero esto no excluye que funcionarios del gobierno chino puedan haber interceptado detalles sin el conocimiento de Alibaba.

No hay evidencia inmediata que sugiera que China haya aprovechado las vulnerabilidades, pero ese no es el punto aquí. Se supone que si el gobierno de los Estados Unidos hubiera sido notificado, entonces este podría haber ayudado a coordinar la divulgación de la información para garantizar que las suficientes empresas hayan implementado las correcciones antes de que las vulnerabilidades se hayan hecho públicas. Los gigantes de la industria como Apple, Amazon, Google y Microsoft estuvieron listos relativamente rápido, pero la mayoría de los demás se quedaron sin el tiempo suficiente para poder parchar su infraestructura y mitigar los efectos de estas vulnerabilidades. Eso podría haber llevado a ataques a proveedores que no estaban en la lista inicial, que todavía ejecutaban sistemas vulnerables.

Intel está entre la espada y la pared en una situación como esta. No hay duda de que tiene que notificar a sus socios, pero también tiene que limitar esas notificaciones para minimizar las fugas de información antes de que los parches estén listos. El problema, como se evidencia, es que la empresa no parecía haber tenido en cuenta las implicaciones de una potencial guerra cibernética como resultado del orden en que notificó a sus socios y clientes más importantes.

Anuncios