Jann Horn
Jann Horn - Jugend forscht e.V.

El joven de 22 años que descubrió los mayores fallos de la computación moderna

El investigador de ciberseguridad de Google, Jann Horn, fue el primero en alertar de las vulnerabilidades «Meltdown» y «Spectre» a Intel

MADRIDActualizado:

Un chico alemán de 22 años está detrás del descubrimiento de los dos mayores fallos de la computación, los famosos «Meltdown» y «Spectre». Jann Horn, quien trabaja como experto en ciberseguridad en Project Zero, la división de Google encargada de encontrar vulnerabilidades de «día cero» (defectos de diseño involuntarios que los hackers pueden explotar para entrar en los sistemas informáticos) encontró casi por casualidad dichos errores que afectan a millones de dispositivos en todo el mundo desde hace una década.

Horn fue el primero en reportar los fallos a Intel, que han significado un punto y aparte en el diseño de los procesadores, por lo que se ha convertido, de la noche a la mañana, en una eminencia en su campo, tal y como se demostró la pasada semana en Zurich en una conferencia en la que respondió a todos los pormenores del suceso.

Un descubrimiento por casualidad

El joven, que no buscaba descubrir una vulnerabilidad en los chips de los ordenadores de todo el mundo, se puso a finales de abril a leer los manuales de los procesadores de Intel. Buscaba asegurarse del buen funcionamiento del código que rige el kernel, el «cerebro» de los ordenadores y que precide qué pasos dará el usuario en función de su uso. Una herramienta que mejora la velocidad de los equipos, pero que también ha resultado ser la puerta de posibles ciberataques a millones de dispositivos, incluidos tablets y smarphones. Horn averiguó que, aunque el procesador adivinara mal, los datos de esas incursiones equivocadas se almacenarían de todas formas en la memoria del chip. Una vez allí, información tan vital como las contraseñas, estarían expuestas a cibercriminales avispados.

«En este punto, me di cuenta de que el patrón de código en el que estábamos trabajando podría potencialmente filtrar datos secretos», ha afirmado Horn en respuesta a una entrevista publicada en Bloomberg. «Luego me di cuenta de que esto podría, al menos en teoría, afectar algo más que el fragmento de código en el que estábamos trabajando».

Eso comenzó lo que ha llamado un «proceso gradual» de investigación adicional que condujo a las vulnerabilidades. Horn ha admitido que estaba al tanto de otras investigaciones, incluidas las de Gruss y el equipo de Graz, quienes también reportaron sobre el suceso, sobre las pequeñas diferencias en el tiempo que le toma a un procesador recuperar la información podrían permitir a los atacantes saber dónde se almacena la información.

Revelación pública y encubramiento de Horn

El joven avisó el 1 de junio a Intel después de que Robert Swiecki, un viejo colega de Google, le aconsejara hacerlo, además de alertar también a ARM y AMD, las otras empresas fabricantes de chips también afectadas.

Pero no fue hasta el 1 de enero cuando saltó a la luz pública los hallazgos de Horn, creando una polémica que aún azota a todos los actores de la industria y cuyas consecuencias aún no se pueden saber con exactitud. Seis meses después, el experto en ciberseguridad es una estrella, al menos en los círculos de ciberseguridad. Recibió un rotundo aplauso de sus colegas investigadores cuando presentó sus hallazgos de «Spectre» y «Meltdown» en un auditorio lleno en una conferencia en Zurich el 11 de enero, una semana después de que los ataques se hicieran públicos.

A pesar de la expectación, Horn, bien aleccionado por Google, no desveló mucho más de lo que ya se sabía. Aseguró que, después de informar a Intel, no tuvo contacto con la compañía, aunque Aaron Stein, un portavoz de Google, afirma que «Jann y Project Zero estuvieron en contacto con Intel regularmente después de que informara el problema».

«Una mente sobresaliente»

Wolfgang Reinfeldt, profesor de Horn, no está sorprendido por su éxito. «En mi experiencia, Jann siempre fue una mente sobresaliente», afirmó a Bloomberg. No era la primera vez que el ahora ingeniero encontraba fallos, ya que ya en la escuela encontró problemas de seguridad con la red informática, según Reinfeldt, lo dejó sin palabras.