¿Vulnerabilidad o funcionalidad? Los fallos en el hardware

"¿Vulnerabilidad o funcionalidad? Los fallos en el hardware" artículo de Manuel David Serrat Olmos en la seccion "Futuro y Seguridad" de la edición de Mayo de 2024 de la Revista Tecnología y Sentido Común TYSC a Revista Líder de Audiencia de la Alta Dirección y los Profesionales en Gestión de Proyectos, Servicios, Procesos, Riesgos y por supuesto Gobierno de Tecnologías de la Información

Estamos acostumbrados, en el ámbito de la ciberseguridad, a hablar de vulnerabilidades, centrándonos sobre todo en las que proceden del software que nuestros dispositivos electrónicos ejecutan. Sin embargo, existen vulnerabilidades en los sistemas que proceden de otras fuentes, entre otras, el propio hardware del equipo. Y el mayor riesgo se produce cuando esa vulnerabilidad ha sido implementada de forma consciente, como puerta trasera al sistema. ¿Vulnerabilidad o funcionalidad? Depende de quien la mire.

En el ya lejano 2011 me hallaba cursando mis estudios de Master en Ingeniería de Computadores cuando, en una asignatura, el docente apuntó una línea argumental acerca de las funcionalidades no documentadas en determinados microprocesadores, que podrían constituir una forma de acceder, manipular o incluso sabotear el dispositivo. Este comentario dio pie a una interesante conversación grupal en la que pudimos exponer nuestras opiniones sobre quienes tenían capacidad de realizar esas modificaciones en los diseños de los chips, y obviamente en ese momento surgían las agencias de inteligencia de las superpotencias como las candidatas perfectas para ello. Sin embargo, estoy seguro que esa discusión hoy en día pondría sobre la mesa la posibilidad de que organizaciones de ciberdelicuentes pudiesen estar detrás de esas manipulaciones.

Téngase en cuenta que, tras el diseño de un microprocesador y su construcción, lo que se chequea es que las funcionalidades documentadas se realicen correctamente, pero no se comprueba que no haya otras funcionalidades no documentadas, precisamente porque se parte de la base de que el diseño sólo busca cumplir con los requisitos del cliente. Pero ¿quién nos garantiza de que el equipo de diseñadores no pertenece a alguna de esas organizaciones interesadas en disponer de esas funcionalidades ocultas? Lo que a nosotros nos parece una vulnerabilidad peligrosa, para un agente externo se considera una funcionalidad valiosa.

Pensemos en funcionalidades que puedan ir desde “leer toda la información que pasa por el procesador” hasta “destruir el chip”. Porque estoy seguro que el lector no creerá que entre esas funcionalidades ocultas estén el hacer cálculos más rápido o un modo para consumir menos electricidad para funcionar. Todas esas funcionalidades ocultas, a las que podemos llamar también “puertas traseras hardware”, irán siempre en detrimento de la privacidad y seguridad del usuario final del computador sobre el que se monten los chips “infectados de serie”.

Lo que les estoy contando no es ciencia ficción o una paranoia más. Hace alrededor de dos años, el fabricante de servidores Supermicro investigó una posible modificación no documentada de las placas base de sus equipos en una fábrica china. El asunto se cerró sin mucha más información al respecto, salvo un comunicado de la marca indicando que sus placas eran seguras y no contenían ningún elemento que no debiera estar ahí. Personalmente, me sonó a la famosa frase de Obi Wan Kenobi, e Star Wars Episode I, “Éstos no son los androides que estáis buscando”, acompañada de un movimiento de la mano y dirigida a los stromtroopers imperiales de Mos Eisley.

Mucho más recientemente, en este 2024, ha surgido la noticia de que el gobierno chino ha prohibido el uso de microprocesadores Intel y AMD, de diseño norteamericano, en todos los equipos gubernamentales, obligando a su sustitución por alternativas chinas. Este movimiento puede verse como una fase más de la guerra comercial existente entre ambos países en el ámbito de los semiconductores, pero encierra también dudas de ciberseguridad, fundadas o infundadas, por parte del gobierno del gigante asiático, de que esos chips pudieran usarse en contra de sus intereses, en concepto amplio. Algo, por cierto, que algunos gobiernos occidentales ya apuntaron en el caso del fabricante chino Huawei, vetado en varios ámbitos tecnológicos en dichos países por sus vínculos con el gobierno chino y las dudas sobre su comportamiento.

Continuar leyendo…

Doctor en Informática por la Universitat Politècnica de València y Master en Dirección TIC de la UPM-INAP, dispone de varias certificaciones internacionales en Operación, Gestión y Gobierno de TI, tales como ITIL, FITSM, PRINCE2 y COBIT. Escritor técnico, es profesor asociado en la Universitat de València, y actualmente coordina el servicio de TI de una organización pública

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad