El ataque a MSI puede desatar un «Doomsday» ¿en qué nos puede afectar?
Hace algo más de un mes, un grupo de hackers decidió atacar los servidores de MSI. En aquel entonces, la compañía nos aconsejó no descargar nada que no fuese de la página web oficial. Tampoco se indicó la gravedad del ataque, hasta que hace unos días se filtraron las keys OEM de MSI e Intel Boot Guard. Desde que se reveló esa información, sabemos que cientos de dispositivos de MSI y otras marcas están afectados y ahora se teme llegue el "Doomsday" en forma de actualizaciones con malware firmadas con claves de la compañía, engañando a nuestros PC.
Cuando se anunció públicamente el ciberataque a MSI, también se filtró que los hackers pedían un rescate. MSI tendría que pagar 4 millones de dólares en 5 días, para así evitar que estos filtraran los 1,5 TB de datos. Pues bien, la compañía no se dignó a realizar dicho pago y ahora se observan las consecuencias. El primer día se determinó la filtración de las herramientas de firmware de placas base y las claves de Intel Boot Guard. Esto empezó a tomarse con mayor seriedad cuando se anunció una lista de más de 200 dispositivos afectados.
La filtración de claves firmadas de MSI genera el caos en la industria
Intel salió a defenderse y asegurar que las claves OEM firmadas eran generadas por el fabricante y no por Intel. MSI seguía sin añadir nada de información adicional sobre el asunto y todo teníamos que buscarlo en Twitter y otras fuentes. De hecho, se empezó a pensar en la posibilidad de que las claves pudieran ser revocadas y así librarnos de un mal mayor. El problema es que ahora se anuncia que no hay una forma sencilla de revocar dichas claves y por ello, MSI y los demás fabricantes se encuentran en una difícil situación.
Según Alex Matrosov de Binarly, estamos ante un escenario catastrófico debido a que es muy difícil actualizar todos los dispositivos afectados de forma simultánea. Mientras MSI intenta hacer algo para arreglar esta situación caótica, Matrosov cree que los hackers podrán aprovecharse para lanzar actualizaciones con claves firmadas haciéndose pasar por los fabricantes. Esto pondría en un aprieto a MSI y otros proveedores.
MSI no tiene forma de parar lo que se avecina
Para empeorar las cosas, Matrosov añade que MSI no tiene un método de actualizaciones automáticas como tienen otras compañías como HP o Dell. También hay que recordar que hasta el momento MSI no se ha pronunciado sobre el ataque más allá del aviso inicial hace más de un mes. Nos encontramos en una situación donde reina la incertidumbre y nadie sabe realmente hasta qué punto la seguridad de nuestros dispositivos está afectada.
Tampoco sabemos como actuarán los hackers y otros maleantes ahora que sabemos que las claves firmadas de MSI se han filtrado. Esto les da una gran libertad a la hora de ingeniar futuros ataques y aprovecharse de esta brecha de seguridad. Por el momento podemos respirar tranquilos de que no se ha realizado ningún ataque dirigido a la cadena de suministro de MSI, pero la situación es muy peliaguda. De hecho, el Centro Nacional de Ciberseguridad no ha descartado que los hackers puedan distribuir actualizaciones maliciosas usando claves firmadas de MSI.