La empresa de tecnología AMD acaba de solucionar una falla de seguridad importante en su programa de actualizaciones automáticas, pero la verdadera noticia no es el parche en sí, sino la forma tan cuestionable en la que trataron al investigador que les avisó del peligro. Un experto en seguridad descubrió que el software de AMD descargaba archivos de forma insegura, permitiendo que un atacante pudiera tomar el control de una computadora, y cuando avisó a la compañía, estos primero ignoraron el reporte diciendo que el error estaba “fuera de alcance” para negarle una merecida recompensa de 10.000 dólares, luego le pidieron que guardara silencio sobre el tema, e incluso cambiaron en secreto las reglas de su programa para justificar su enojo, tardando finalmente 124 días en lanzar una solución que, según el propio investigador ni siquiera resuelve todo el problema.
Hace pocos días AMD ya había estado en una polémica por negar la garantía a un usuario que tuvo un problema con su procesador, y nuevamente vuelve a cargar con una acusación de que no responde como debería ser. Lo más grave de esta situación era que el programa instalador no verificaba de forma real las firmas de seguridad ni los certificados antes de ejecutar los archivos descargados. Esto abría la puerta a un ataque cibernético muy peligroso donde alguien conectado a la misma red de internet podría cambiar el archivo oficial de AMD por un virus, y como el programa funciona con permisos especiales del sistema, el atacante podría lograr ejecutar código a distancia y tomar el control total de la computadora.
La polémica, el silencio forzado y las reglas cambiantes
Después de hacer este preocupante descubrimiento el 27 de enero, este profesional conocido como MrBruh, decidió hacer lo correcto y envió un reporte oficial a AMD el 6 de febrero a través de su programa de recompensas por encontrar errores de software. Sin embargo, la respuesta que recibió por parte de la empresa fue simplemente cerrar el caso porque consideraron que la falla estaba “fuera de alcance”, argumentando que afectaba a herramientas opcionales y requería la intercepción de la red local.
Esta decisión significó que el investigador se quedó sin la recompensa de 10.000 dólares, a pesar de que tiempo después el error fue reconocido oficialmente en las bases de datos de seguridad con un puntaje de riesgo bastante alto. Todo este proceso de idas y vueltas duró 124 días completos hasta que finalmente terminó el periodo de restricción de información el 9 de junio.
Al ver que no había un arreglo a la vista, MrBruh decidió publicar sus hallazgos en internet y la noticia rápidamente se volvió muy popular en foros de tecnología, momento en el cual el equipo de seguridad de AMD apareció nuevamente para decirle que el tema seguía en revisión. La empresa le pidió que borrara su publicación mientras trabajaban en un parche, excusándose en que hacer pública la información no parecía cumplir con los términos del programa de reportes.
La situación se volvió mucho más extraña cuando el canal de YouTube Gamers Nexus descubrió que AMD había modificado discretamente el texto de sus reglas de recompensas para establecer que los investigadores no debían revelar información de vulnerabilidades sin el consentimiento por escrito de AMD, incluso si el reporte era considerado inválido o estaba “fuera de alcance”. En la práctica, esto demuestra que la compañía acusó al investigador de romper una regla que ellos mismos inventaron después de que él supuestamente la violara.
Un parche a medias y el consejo final para los usuarios
Finalmente, AMD publicó un boletín oficial donde reconoce la existencia de esta vulnerabilidad y le da el crédito correspondiente a MrBruh por su trabajo investigativo. En su comunicado oficial explican que el problema ya fue mitigado y nombran las versiones actualizadas de sus programas que ya son seguras para el público. Sin embargo, la actualización que enviaron sigue generando bastantes dudas en la comunidad de seguridad informática, ya que AMD le aseguró al investigador que ahora todas las comunicaciones para actualizar usan conexiones seguras y que los archivos pasan por una verificación de firmas. El investigador se tomó el tiempo de revisar estas promesas y confirmó que efectivamente ahora se usa una conexión segura, pero descubrió que el sistema solo hace una revisión básica de datos que de ninguna manera se considera una firma de seguridad real.
Para terminar, además de este arreglo que parece estar incompleto, MrBruh advierte que existe otro error interno en el sistema que podría impedir que el programa de actualizaciones se actualice a sí mismo de manera correcta, dejando a las personas desprotegidas sin que se den cuenta del problema. Por todo este historial de fallas y soluciones a medias, la recomendación final del experto es que los usuarios desinstalen por completo este software de AMD de sus computadoras y descarguen las versiones más recientes de forma manual directamente desde la página web oficial de la compañía, evitando así usar la herramienta automática que ha demostrado ser poco confiable.
Puedes conocer más sobre este caso en el siguiente reporte del video de Gamer Nexus (en inglés), que te dejamos a continuación.
Los 15 CPUs más vendidos de Amazon son AMD y uno de sus procesadores más costoso logra el primer lugar absoluto→ Usuario asegura que AMD rechazó la garantía de su Ryzen 9 7950X3D después de que el procesador dejara de funcionar por un problema conocido→
