Un par de nuevos virus malware con la capacidad de obtener información privada del CPU sin que el usuario pueda darse cuenta han sido detectados por investigadores del equipo de Google Project Zero. Estos llevan por nombre Spectre y Meltdown, y podrían robar contraseñas y llaves privadas apoyándose en el procesador de numerosos equipos.
Aunque normalmente un programa no debería poder leer los datos de otro, al utilizar uno de estos virus es posible obtener información almacenada en la memoria de una aplicación diferente. Esto puede incluir las contraseñas precargadas en navegadores, fotos, videos, correos electrónicos, documentos e incluso las llaves de carteras de criptomonedas que se encuentren en el equipo.
Los procesadores modernos operan con un esquema llamado “Branch Prediction Unit” o Unidad de Predicción de Saltos. Básicamente, se trata de que el procesador del equipo crea ciertas predicciones de acuerdo con los movimientos del usuario, para adelantarse a cuál será el próximo paso a ejecutarse cuando se utiliza una aplicación. El procesador intenta aprender la secuencia lógica del programa para adivinar con la mínima tasa de fallos si un salto será o no tomado.
El esquema de predicción descrito permite que la información sea procesada de forma rápida y eficiente, ya que cuando se toma la decisión de qué se va a hacer, se tiene el camino adelantado. La desventaja de este tipo de programación es que información sensible del usuario puede quedar almacenada en las predicciones y ser aprovechada por este tipo de malware.
Tanto Meltdown como Spectre pueden operar en computadoras de escritorio, laptops, dispositivos móviles y servidores en la nube. Ambos utilizan el procesador de los equipos para infiltrarse. Son virtualmente indetectables y casi nunca son reconocidos por los antivirus. Además, por su estructura, es difícil saber cuándo han infectado algún equipo.
De acuerdo con lo explicado por Project Zero, son vulnerables los procesadores de marcas Intel, AMD y ARM. Hasta ahora, se conoce que pueden atacar dispositivos con sistemas operativos Android, Linux, Windows y OS X, pero casi todos los dispositivos modernos operan con este tipo de procesador, por lo que se desconocen la magnitud de las consecuencias de este problema.
¿CÓMO PROTEGER MIS CARTERAS?
En cuanto a salvaguardar las llaves privadas de las carteras de criptomonedas, la primera recomendación es hacer uso de carteras frías, como las que son producidas por Trezor y Ledger. Estas no son vulnerables a los ataques mencionados debido a que los virus necesitan acceso a internet para propagarse. La empresa Ledger explicó que siempre que se sigan las recomendaciones de seguridad, incluso cuando la computadora es afectada por el virus, la cartera está protegida.
Las carteras frías almacenan las llaves privadas del usuario en un chip y nunca salen de este, sólo se accede a ellas bajo permiso. A pesar de esto, se recomienda no compartir el pin del dispositivo, chequear la dirección a las que se enviarán las criptomonedas e instalar la aplicación sólo desde el sitio oficial de la empresa.
En caso de no poseer a la mano una cartera de criptomonedas de este tipo (hardware wallet), la recomendación general ofrecida por los miembros de MyEtherWallet es actualizar el sistema operativo y los navegadores a la brevedad posible. Particularmente a los usuarios de Google Chrome, se les aconseja configurarlo para aislar sitios web. Esta es una nueva opción de seguridad que ofrece el navegador para tener una segunda línea de defensa que proteja al equipo ante posibles ataques de malware propagado a través de páginas web. Una guía completa de implementación puede encontrarse aquí.
Por último, existen parches para mejorar la seguridad luego de un ataque de Spectre o Meltdown y pueden ser instalados dependiendo del malware en sistemas operativos Linux, Windows y OS X. Meltdown se diferencia de Spectre en que este rompe el mecanismo que evita a las aplicaciones acceder a lugares de la memoria arbitraria del sistema. Spectre por su parte “engaña” a las aplicaciones para entrar a locaciones arbitrarias de sus memorias.
Este no es el primer virus que podría poner en peligro la integridad de las carteras de criptomonedas. El software malicioso Quant Trojan ha sido actualizado en su diseño para buscar credenciales de carteras de bitcoin y otros criptoactivos. El equipo de investigadores que rastreó el virus aseguró que esta es una evolución que se encargó de distribuir e infectar a equipos con los ransomware Locky y Pony, y que se encuentra disponible para su compra en foros clandestinos de internet en Rusia.
