Un 20% más de velocidad… a costa de la seguridad. Canonical está dispuesta a arriesgarse por la potencia de Intel

Se avecinan cambios en el ecosistema de Linux y en las tecnologías gráficas de Intel que afectan directamente al equilibrio entre rendimiento y seguridad. Canonical, responsable del desarrollo de la distribución Ubuntu, junto con Intel, se prepara para una novedad importante: la desactivación de algunas medidas de seguridad en los procesadores gráficos de Intel. Este paso pretende mejorar notablemente la velocidad de ejecución de tareas relacionadas con el cómputo en GPU, incluidas tecnologías como OpenCL y Level Zero.

Se trata de las llamadas security mitigations, medidas de seguridad diseñadas para neutralizar vulnerabilidades conocidas, incluidas las de tipo Spectre. Aunque la seguridad de las GPU se discute menos que la de las CPU, con el tiempo ha quedado claro que estas medidas reducen significativamente el rendimiento de los sistemas. Según los desarrolladores, desactivarlas podría aumentar el rendimiento hasta un 20% en cargas de trabajo gráficas.

Para lograrlo, Canonical planea utilizar la opción de compilación NEO_DISABLE_MITIGATIONS, prevista por Intel. Este parámetro permite compilar los paquetes de software sin activar las medidas de seguridad para el stack de cómputo gráfico de Intel, sin afectar a la seguridad del núcleo de Linux ni de otros componentes del sistema fuera del proyecto Intel “NEO”.

Se espera que estos cambios se integren en los paquetes oficiales de Ubuntu con la versión 25.10. En esencia, Canonical simplemente oficializa una práctica que Intel ya aplica: las compilaciones binarias de Compute Runtime para OpenCL y Level Zero, disponibles en el repositorio oficial de la empresa en GitHub, se distribuyen sin mitigaciones gráficas activadas, ya que estas ralentizan demasiado el funcionamiento de los sistemas.

La información sobre esta novedad se publicó en la plataforma Launchpad, utilizada para el seguimiento de errores y el desarrollo de Ubuntu. En el anuncio se confirma que los usuarios pueden esperar un aumento de velocidad de hasta el 20%, aunque esto también conlleva un riesgo potencial.

El principal argumento de los detractores de esta iniciativa es que desactivar ciertas protecciones puede abrir nuevas vías de ataque aún no exploradas. Sin embargo, según el informe conjunto de expertos de Intel y Canonical, los análisis exhaustivos muestran que eliminar estas medidas no afecta gravemente al nivel general de seguridad.

Se destaca además que Intel ya distribuye compilaciones de Compute Runtime sin estas medidas de protección. Hasta la fecha, no se ha detectado ningún abuso exitoso de vulnerabilidades relacionado con este enfoque. No obstante, los desarrolladores advierten que la desactivación de mitigaciones puede revelar errores hasta ahora invisibles que las capas de seguridad compensaban.

También es importante tener en cuenta las particularidades técnicas. Las compilaciones de Compute Runtime de Intel en GitHub utilizan vinculación estática y difieren en su estructura de los paquetes deb de Canonical. Esto puede generar diferencias en el funcionamiento de los sistemas y exige pruebas y verificaciones adicionales.

En cuanto a la vulnerabilidad Spectre, los expertos de ambas compañías coinciden en que su mitigación en el nivel de Compute Runtime para GPU ha perdido relevancia. Según los desarrolladores, las versiones modernas del núcleo de Linux ya incorporan todos los parches necesarios para neutralizar esta amenaza. Las medidas adicionales en el stack de GPU prácticamente no refuerzan la seguridad, pero sí ralentizan considerablemente los cálculos.

Para evitar problemas en sistemas con núcleos antiguos o modificados, se ha incorporado en la compilación de Compute Runtime una advertencia especial que recuerda la importancia de mantener el sistema actualizado. Así se informa a los usuarios de los posibles riesgos sin sacrificar excesivamente el rendimiento.

Actualmente, Canonical está probando las nuevas compilaciones de Compute Runtime con el flag NEO_DISABLE_MITIGATIONS activado a través de un repositorio PPA personal para Ubuntu. Este enfoque permite verificar previamente la estabilidad y el correcto funcionamiento antes de que los cambios se incluyan oficialmente en la distribución.

En las próximas semanas se esperan los primeros resultados de las pruebas comparativas. Los expertos recuerdan que muchos usuarios ni siquiera sospechaban cuánto afectan las medidas de seguridad al rendimiento de los cálculos gráficos. Ahora que se ha revelado un posible aumento del 20%, es probable que crezca notablemente el interés por optimizar la configuración entre los propietarios de GPU de Intel y los entusiastas de Ubuntu.