Como consumidores de tecnología nos gusta la idea de estar a la vanguardia a nivel de equipos, pero a la hora de actualizar los sistemas, la seguridad y otros aspectos internos y esenciales para su funcionamiento, somos vagos, sin importar que seamos usuarios individuales o corporativos.
Esta vagancia, como se vio en mayo pasado a propósito de WannaCry, a menudo sale muy cara, y lo peor es que no parecemos aprender la lección, pues cuando Petya atacó en junio lo hizo aprovechando la misma debilidad que había sido parchada cuando WannaCry estaba en sus buenas.
Historias de horror derivadas de la falta de actualización oportuna de sistemas operativos, parches de seguridad y demás han llevado a los fabricantes a incorporar mecanismos que de manera automática se encargan de mantener los equipos al día, algo que se ve incluso a nivel móvil en lo que respecta a aplicaciones, acción que no siempre es bienvenida.
¿Es una mala idea que los equipos se actualicen por su cuenta, sin intervención del usuario? Puede ser. Usuarios de Windows 10, por ejemplo, han sido víctimas en alguna ocasión de actualizaciones inoportunas que se activan al encender la PC. Cuando llevamos prisa, esto puede ser desesperante porque toma tiempo, pero la mayoría de las veces las actualizaciones automáticas son bienvenidas porque quitan un peso de encima.
Para usuarios que además de vagos no son muy duchos a la hora de ejecutar actualizaciones, la posibilidad de que el equipo lo haga por su cuenta es un éxito. A nivel corporativo, para evitar sustos tipo WannaCry y demás, puede verse con un mal necesario, similar a los anuncios que inundan las redes sociales y la Internet a nivel general.
Pese a la evidente funcionalidad de este tipo de mecanismos, hay que hacer la salvedad de que las actualizaciones automáticas podrían estar acompañadas de riesgos de privacidad y seguridad que a veces no estamos esperando. Por esta y otras vías, por ejemplo, Microsoft recolecta data tanto a nivel corporativo como individual que posteriormente es utilizada para mejorar y reforzar ciertos aspectos en Windows a varios niveles.
Microsoft ha dicho siempre que no recolecta data personal, tan solo data anónima que da una idea del desempeño y que podría usarse justamente para ofrecer una experiencia más optimizada. Suena bien, pero la realidad es que esta podría ser una brecha para algo más, y no necesariamente por el lado de Microsoft.
Otro ejemplo, y este es quizás más grave, es lo que sucede con chips x86 de Intel para uso corporativo, los cuales integran desde 2008 un módulo de gestión automática llamada Management Engine (ME) que actualmente va por la versión 11.
ME lo que hace es proveer acceso automático a staff de TI para intervenir y solucionar cualquier problema que se presente en el equipo, así como para actualizaciones y otras labores de mantenimiento, todo de forma remota y sin intervención del usuario.
A simple vista, ME es algo beneficioso, pero no es tan funcional o tan inocente como pudiera parecer. Varios expertos en seguridad, incluyendo a Damien Zammit, han señalado que este CPU dentro del CPU funciona esencialmente como una puerta trasera que podría dar cabida a cualquier ataque sin el usuario siquiera darse cuenta. El hecho de que provee acceso directo a la memoria, el teclado y la pantalla ofrece la receta para un potencial desastre
ME está configurado de manera que no se puede desactivar. Es más, según Zammit, ni siquiera se puede auditar. Sin embargo, gracias a una herramienta de la NSA, investigadores de Positive Technologies han descubierto una forma en que puede desactivarse ME, aunque solo parcialmente, pues este módulo interviene directamente en el encendido del equipo y carga del procesador principal.
Si estás en un ambiente corporativo y no quieres problemas de seguridad por vía de ME, puedes seguir los pasos que lista Positive Technologies en este documento de Github. Lo único malo es que los investigadores que dieron con la solución advierten que el proceso de desactivación parcial podría dañar el equipo, de manera que están advertidos.