Los microchips que usás a diario tienen 98 formas diferentes de ser vulnerados. A diferencia de las fallas en software, que podés solucionar con una actualización, estos defectos están grabados en el silicio, lo que los hace extremadamente difíciles y costosos de reparar.

Peter Mell e Irena Bojanova, investigadores del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), publicaron el 14 de noviembre un informe que analizó de forma exhaustiva las vulnerabilidades de hardware que podrían afectar a millones de dispositivos en todo el mundo. "El hardware suele asumirse como robusto desde una perspectiva de seguridad", señalaron los investigadores. Sin embargo, los chips modernos contienen millones de componentes y software integrado, conocido como firmware.

A diferencia de las fallas en el software, que podés corregir con actualizaciones, los defectos de hardware están incrustados en el silicio, lo que los hace casi imposibles de reparar.  

El problema del silicio: cuando la seguridad del hardware falla  

¿Te acordás de los casos de Spectre y Meltdown, esas vulnerabilidades en procesadores que generaron pánico en la industria tecnológica en 2018? Según el informe del NIST, aquello fue solo un adelanto de lo que puede pasar cuando la seguridad del hardware falla. El estudio identificó siete grandes categorías de vulnerabilidades en hardware, cada una representando un vector de ataque para comprometer dispositivos.  

1. Problemas de control de acceso: los investigadores identificaron 43 escenarios donde usuarios no autorizados podrían acceder a información sensible o controlar sistemas. Un defecto en el hardware puede desencadenar una cadena de vulnerabilidades en el software, comprometiendo la seguridad del dispositivo por completo.  
2. Gestión de recursos: encontraron 40 fallos en la gestión de memoria y energía. Estos problemas permiten a los atacantes manipular cómo el dispositivo usa sus recursos, provocando bloqueos o accediendo a información sensible almacenada en la memoria.  
3. Fallos en los mecanismos de seguridad: detectaron 15 formas en que los mecanismos básicos de seguridad del hardware pueden fallar, exponiendo datos sensibles o permitiendo accesos no autorizados. Estas vulnerabilidades no las podés corregir con simples actualizaciones de software.  
4. Errores en estándares de codificación: incluso el hardware requiere programación, y el informe identificó 14 escenarios donde malas prácticas en el diseño crearon vulnerabilidades permanentes.  
5. Problemas en el flujo de control: los atacantes pueden manipular cómo el hardware procesa instrucciones, afectando el funcionamiento del dispositivo a nivel fundamental. Identificaron 11 escenarios de este tipo.  
6. Manejo incorrecto de errores: cuando ocurren situaciones inesperadas, el hardware debe gestionarlas de manera segura. NIST detectó cinco escenarios donde esto falla, permitiendo potenciales accesos no autorizados.  
7. Errores de comparación: aunque identificaron solo un caso, su impacto es crítico. Se trata de fallos al comparar valores, como contraseñas, que pueden permitir el acceso a información restringida.  

Ejemplos alarmantes

El informe del NIST detalló varios escenarios alarmantes:  

• Extracción de claves de cifrado durante el mantenimiento: durante el mantenimiento rutinario, los técnicos necesitan acceso especial para realizar pruebas o depuración del hardware. En estos procedimientos, los atacantes pueden extraer claves de cifrado que normalmente están protegidas, comprometiendo toda la información del dispositivo.  
• Exposición de datos de fabricación en operaciones de depuración: durante la depuración, los dispositivos pueden revelar información detallada sobre su fabricación y configuración. Este tipo de datos, en manos de un atacante, puede usarse para explotar otras vulnerabilidades.  
• Compromiso por acceso físico: si una persona malintencionada tiene acceso físico a un dispositivo, puede superar las medidas de seguridad y acceder a información restringida. Aunque estos ataques requieren contacto directo con el dispositivo, el nivel de compromiso puede ser total.  
• Manipulación del manejo de energía: los dispositivos modernos tienen sistemas complejos de gestión de energía para optimizar el rendimiento. NIST identificó que estas funciones pueden explotarse para deshabilitar características de seguridad o alterar el comportamiento del dispositivo.  

Impacto en la industria y la necesidad de rediseño  

El informe subrayó que la seguridad del hardware debe considerarse desde las primeras etapas de diseño, en lugar de tratarse como una solución posterior. "Las organizaciones deben tomar medidas proactivas para abordar estas debilidades antes de que se conviertan en vulnerabilidades", advirtieron los investigadores. Sin embargo, resolver estos problemas no es tan simple como lanzar una actualización de software. Requiere rediseñar y reemplazar componentes físicos, un proceso que puede costar miles de millones de dólares.  

Este estudio es un llamado de atención para la industria tecnológica: mientras que la seguridad del software sigue siendo crucial, también tenemos que garantizar que la base física de nuestro mundo digital, el hardware, sea segura desde su concepción. A medida que dependemos cada vez más de la tecnología, la seguridad de los componentes de hardware se convierte en un aspecto fundamental. La próxima gran brecha de ciberseguridad podría no venir de un sofisticado ataque de software, sino de una falla incrustada en el corazón de silicio de tus dispositivos.  

*Con información de Forbes US.