Yago Jesús

Esto se ha hecho así siempre

En el mundo de la informática hay muchos ejemplos de errores «heredados» cuya vigencia alcanza un montón de años hacia atrás, errores que alguien introdujo pensando que eran una buena solución y que han terminado en un problema más grave del que resolvía

Yago Jesús
Actualizado:

Muchas veces en la vida, cuando nos encontramos con algo que vemos mal implementado o con evidentes deficiencias, nos encontramos como respuesta el típico «esto se ha hecho así siempre» y a veces acompañado de «y siempre ha funcionado». Normalmente es así hasta que el día X alguien ofrece una evidencia empírica que deja por los suelos dicho concepto.

Ha pasado, por ejemplo, con ciertos pesticidas (hola D.D.T!), hasta que alguien no ha probado que eso no era bueno, nadie se ha preocupado en buscar alternativas. En el mundo de la informática hay muchos ejemplos de errores «heredados» cuya vigencia alcanza un montón de años hacia atrás, errores que alguien introdujo pensando que eran una buena solución y que han terminado en un problema más grave del que resolvía.

Hoy toca hablar de Meltdown y Spectre, los nombres que les han dado a sendas vulnerabilidades reportadas en los procesadores Intel y otros. Es importante el «y otros» porque en principio se puso el dedo acusador sobre Intel y luego se ha demostrado que, errores de ese tipo, se pueden encontrar en casi cualquier procesador, probablemente porque unos se hayan copiado a otros

En este caso, la vulnerabilidad explicada de forma muy simple sería análoga a un banco en el que hay cajas fuertes de seguridad donde los clientes meten sus cosas de valor. Pongamos que el banco es el procesador y los clientes cualquier programa que se ejecuta en su ordenador, tablet o móvil. Uno espera de un banco una alta seguridad. Mis cosas son mías y nadie debe ni robarlas y verlas.

En este caso el banco ha hecho las cosas mal. Un día alguien dijo: ¿Oye y si en vez de pedir el DNI a cada cliente para acceder a su caja de seguridad, simplemente nos basamos en que el guardia recuerde si quien está en la puerta se parece o no al dueño de la caja? A la gente le pareció estupendo puesto que iban ahorrar mucho tiempo e iban a ser más eficientes. Todo iba bien hasta que alguien vio que al guardia de seguridad se le puede engañar y hacerse pasar por otra persona.

Problema gordo, una persona malintencionada podría acceder a la caja de otra persona simplemente disfrazándose de ella o haciendo creer al guardia que es el dueño legítimo. Muy someramente de esto va la nueva vulnerabilidad, de poder acceder a los datos que cada proceso (su navegador donde hace compras online y accede al banco, el WhatsApp …) almacena en un espacio que debería ser seguro y ha quedado claro que no lo es. ¿Solución? Volver a pedir el DNI a cada usuario perdiendo con ello esa eficiencia que se había ganado anteriormente.

YAGO JESÚSYAGO JESÚS