Intel ofreció hasta 120.000 dólares a los descubridores de la vulnerabilidad que afecta a sus CPUs para mantenerlo en secreto durante más tiempo
por Sergio San Joaquín 2A través de una publicación del Nieuwe Rotterdamsche Courant se ha podido saber que Intel ha ofrecido la cantidad de 120.000 dólares a los investigadores de seguridad de la Universidad Vrije de Amsterdam que descubrieron la vulnerabilidad RIDL hecha pública el 14 de mayo, con el objetivo de prolongar el acuerdo de confidencialidad.
El bug que ha sacudido a Intel se descubrió en septiembre de 2018, y acordaron con los investigadores de no hacerlo público hasta mayo de 2019 para dar tiempo a la compañía en arreglar el fallo mediante parches y actualizaciones del microcódigo, sin embargo, Intel necesitaba más tiempo para solucionarlo y ofreció primeramente 40.000 dólares a los investigadores para no hacer público el fallo todavía, a lo que los investigadores rehusaron, y aumentando la oferta en otros 80.000 dólares que también se declinó, haciendo pública la noticia según estaba concretada en un principio.
Intel argumentó que la información sobre vulnerabilidades que se hacen públicas antes de tener la oportunidad de abordarlas les daría tiempo a los hackers para diseñar y difundir el malware que explota la vulnerabilidad, y pidió a los investigadores que se mitigara el alcance al público sobre el impacto real del agujero de seguridad, pero también se rechazó. Los investigadores afirman que Intel necesitaba de otros seis meses sin que la gente supiera sobre el fallo de seguridad.
Tenemos que recordar no obstante que Intel, como la mayoría de las grandes compañías tecnológicas cuenta con un programa de recompensas de seguridad ante vulnerabilidades que paga a investigadores para descubrir posibles fallos o agujeros de seguridad en sus productos, con el fin de poder solventarlos a tiempo firmando un acuerdo de confidencialidad. En ocasiones, el plazo desde que ha sido descubierta una vulnerabilidad hasta que es solucionada es mayor que el tiempo que acuerdan los investigadores con la compañía afectada y se suelen acordar prolongaciones de dichos acuerdos de confidencialidad a cambio de dinero.
Lo que ha ocurrido en este caso, para asombro del mundo tecnológico, es que los investigadores han decidido no aumentar el plazo y hacer pública la vulnerabilidad sin haber sido solucionada, con las consecuencias que ello pueda tener tanto para Intel como para los usuarios de los procesadores.
Puedes verificar si tu procesador es vulnerable con la herramienta MDS Tool aquí.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!