Estamos acostumbrados, en el ámbito de la ciberseguridad, a hablar de vulnerabilidades, centrándonos sobre todo en las que proceden del software que nuestros dispositivos electrónicos ejecutan. Sin embargo, existen vulnerabilidades en los sistemas que proceden de otras fuentes, entre otras, el propio hardware del equipo. Y el mayor riesgo se produce cuando esa vulnerabilidad ha sido implementada de forma consciente, como puerta trasera al sistema. ¿Vulnerabilidad o funcionalidad? Depende de quien la mire.
En el ya lejano 2011 me hallaba cursando mis estudios de Master en Ingeniería de Computadores cuando, en una asignatura, el docente apuntó una línea argumental acerca de las funcionalidades no documentadas en determinados microprocesadores, que podrían constituir una forma de acceder, manipular o incluso sabotear el dispositivo. Este comentario dio pie a una interesante conversación grupal en la que pudimos exponer nuestras opiniones sobre quienes tenían capacidad de realizar esas modificaciones en los diseños de los chips, y obviamente en ese momento surgían las agencias de inteligencia de las superpotencias como las candidatas perfectas para ello. Sin embargo, estoy seguro que esa discusión hoy en día pondría sobre la mesa la posibilidad de que organizaciones de ciberdelicuentes pudiesen estar detrás de esas manipulaciones.
Téngase en cuenta que, tras el diseño de un microprocesador y su construcción, lo que se chequea es que las funcionalidades documentadas se realicen correctamente, pero no se comprueba que no haya otras funcionalidades no documentadas, precisamente porque se parte de la base de que el diseño sólo busca cumplir con los requisitos del cliente. Pero ¿quién nos garantiza de que el equipo de diseñadores no pertenece a alguna de esas organizaciones interesadas en disponer de esas funcionalidades ocultas? Lo que a nosotros nos parece una vulnerabilidad peligrosa, para un agente externo se considera una funcionalidad valiosa.
Pensemos en funcionalidades que puedan ir desde “leer toda la información que pasa por el procesador” hasta “destruir el chip”. Porque estoy seguro que el lector no creerá que entre esas funcionalidades ocultas estén el hacer cálculos más rápido o un modo para consumir menos electricidad para funcionar. Todas esas funcionalidades ocultas, a las que podemos llamar también “puertas traseras hardware”, irán siempre en detrimento de la privacidad y seguridad del usuario final del computador sobre el que se monten los chips “infectados de serie”.
Lo que les estoy contando no es ciencia ficción o una paranoia más. Hace alrededor de dos años, el fabricante de servidores Supermicro investigó una posible modificación no documentada de las placas base de sus equipos en una fábrica china. El asunto se cerró sin mucha más información al respecto, salvo un comunicado de la marca indicando que sus placas eran seguras y no contenían ningún elemento que no debiera estar ahí. Personalmente, me sonó a la famosa frase de Obi Wan Kenobi, e Star Wars Episode I, “Éstos no son los androides que estáis buscando”, acompañada de un movimiento de la mano y dirigida a los stromtroopers imperiales de Mos Eisley.
Mucho más recientemente, en este 2024, ha surgido la noticia de que el gobierno chino ha prohibido el uso de microprocesadores Intel y AMD, de diseño norteamericano, en todos los equipos gubernamentales, obligando a su sustitución por alternativas chinas. Este movimiento puede verse como una fase más de la guerra comercial existente entre ambos países en el ámbito de los semiconductores, pero encierra también dudas de ciberseguridad, fundadas o infundadas, por parte del gobierno del gigante asiático, de que esos chips pudieran usarse en contra de sus intereses, en concepto amplio. Algo, por cierto, que algunos gobiernos occidentales ya apuntaron en el caso del fabricante chino Huawei, vetado en varios ámbitos tecnológicos en dichos países por sus vínculos con el gobierno chino y las dudas sobre su comportamiento.
Doctor en Informática por la Universitat Politècnica de València y Master en Dirección TIC de la UPM-INAP, dispone de varias certificaciones internacionales en Operación, Gestión y Gobierno de TI, tales como ITIL, FITSM, PRINCE2 y COBIT. Escritor técnico, es profesor asociado en la Universitat de València, y actualmente coordina el servicio de TI de una organización pública
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.