China habría utilizado un chip diminuto para intentar infiltrarse en las grandes tecnológicas

Estados Unidos descubre el origen chino de modificaciones en placas base distribuidas a compañías de todo el mundo, cuyo objetivo sería robar información de propiedad intelectual y secretos comerciales.

Por – Oct 4, 2018 - 13:36 (CET)

China habría conseguido, supuestamente, infiltrarse de manera efectiva durante los últimos años en los sistemas informáticos de decenas de empresas de todo el mundo, muchas de ellas referentes del sector de la tecnología, como Amazon o Apple, a través del uso de un microchip. Una vulnerabilidad que ha sido posible gracias a un elaborado plan ejecutado desde el país asiático en las cadenas de producción de los proveedores de Super Micro Computer (Supremicro), una de las principales empresas distribuidoras de placas base para servidores a nivel mundial.

O al menos lo ha intentado, según una publicación detallada de Bloomberg Businessweek que surge tras una investigación, aún en curso, comenzada por el gobierno de Estados Unidos en 2015, cuando se comenzaron a detectar las anomalías en los placas base de servidores de Elemental Technologies, una compañía adquirida posteriormente ese año por Amazon para su plataforma AWS (Amazon Web Services). Desde entonces, y según las fuentes recabadas por el citado medio, que abarcan tanto investigadores independientes como individuos del propio Gobierno, se han ido descubriendo las implicaciones, cada vez mayores, de lo que parece una operación a gran escala orquestada desde el núcleo de China.

Tan pequeño como un grano de arroz

El quid de la cuestión se encuentra en un diminuto chip, del tamaño de la punta de un lapicero o de unas dimensiones tan reducidas como las de un grano de arroz, aproximadamente. Al contrario que otras técnicas de ciberataque e infiltración en equipos ajenos, la problemática que presentan los millones de servidores provistos por Supermicro alrededor del mundo –en 2014 Apple adquirió 10.000 de esos servidores para instalarlos en 19 localizaciones alrededor del mundo, por ejemplo– es que la implantación del chip se hacía directamente en el proceso de ensamblaje en las fábricas, complicando notablemente su posible detección.

"Algunos de los chips se construyeron para que parecieran receptores de señal, e incorporaron memoria, capacidad de conexión a la red y suficiente capacidad de procesamiento para un ataque", aseguran los descubridores. Con estos pequeños dispositivos implantados en las placas base, eran enviados a Supermicro, que se encargaba (y encarga) de venderlos a diferentes compañías –en 2015 su cartera se extendía a más de 900 clientes en 100 países de todo el mundo–. Una vez en los servidores, los microchips eran capaces de realizar modificaciones en las operaciones de estos y ser controlados de manera externa por los atacantes.

La acción pertenece presuntamente a un grupo del Ejército Popular de Liberación, el ejército nacional de la República Popular China, atañendo de manera directa al Gobierno del país, cuyas tensiones con Estados Unidos y su vocación por controlar internet y las comunicaciones son de sobra conocidas. Según un antiguo trabajador del cuerpo de Inteligencia de Estados Unidos, la importancia de este ataque o acción conjunta viene dada por el papel de Supermicro en el mercado internacional, lo cual eleva el rango de afectados exponencialmente.

Piensa en Supermicro como el Microsoft del mundo del hardware. Atacar a las placas madre de Supermicro es como atacar a Windows. Es como atacar a todo el mundo.

¿Se sabía o no?

El análisis de la situación publicado hoy asegura que la situación con los servidores y el compromiso de los datos de los mismos era bien conocida por muchas de las empresas expuestas, entre las que se encuentran las mencionadas Apple y Amazon, que descubrieron las modificaciones en los servidores en 2015. El objetivo de las mismas era robar datos de propiedad intelectual y secretos comerciales de empresas norteamericanas, por lo que los datos de los usuarios no se habrían visto expuestos.

En contra de lo publicado por Bloomberg, ambas compañías niegan tajantemente haber encontrado evidencias en el pasado acerca de este asunto ni tener conocimiento alguno de investigaciones por parte del Gobierno en relación a este aspecto. Apple asegura haber realizado investigaciones de manera periódica tras las numerosas veces que les contactó dicha publicación con información acerca de la infiltración en los servidores, no encontrando "ninguna evidencia" que respalde los datos del medio.

En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, "manipulaciones de hardware" o vulnerabilidades plantadas a propósito en ningún servidor. Apple nunca tuvo contacto con el FBI ni con ninguna otra agencia sobre tal incidente. No tenemos conocimiento de ninguna investigación por parte del FBI, ni nuestros contactos en la aplicación de la ley. [...]

Como práctica, antes de que los servidores se pongan en producción en Apple, se los inspecciona en busca de vulnerabilidades de seguridad y actualizamos todo el firmware y el software con las últimas protecciones. No descubrimos ninguna vulnerabilidad inusual en los servidores que compramos de Super Micro cuando actualizamos el firmware y el software de acuerdo con nuestros procedimientos estándar. [...]

Por su parte, Amazon adopta una postura similar y descarta haber tenido cualquier conocimiento acerca de una posible situación de vulnerabilidad de datos en sus servidores.

Es falso que AWS supiera sobre un compromiso en la cadena de suministro, un problema con chips maliciosos o modificaciones de hardware al adquirir Elemental. También es falso que AWS supiera sobre los servidores que contienen chips maliciosos o modificaciones en centros de datos con sede en China, o que AWS trabajó con el FBI para investigar o proporcionar datos sobre hardware malicioso. [...] No hemos encontrado pruebas que respalden las afirmaciones de chips maliciosos o modificaciones de hardware.

La auditoría previa a la adquisición describió cuatro problemas con una aplicación web (no hardware o chips) que SuperMicro proporciona para la administración de sus placas base. Todos estos hallazgos se abordaron completamente antes de que adquiriéramos Elemental. [...]

Desde Supermicro niegan, igualmente, tener constancia acerca de la situación con sus servidores:

Si bien cooperaríamos con cualquier investigación gubernamental, no tenemos conocimiento de ninguna investigación relacionada con este tema ni ninguna agencia gubernamental nos ha contactado al respecto. No tenemos conocimiento de ningún cliente que abandone Supermicro como proveedor para este tipo de problema.

Todas las grandes corporaciones en el clima de seguridad actual responden constantemente a las amenazas y evolucionan su postura de seguridad. Como parte de ese esfuerzo, estamos en contacto regular con una variedad de proveedores, socios de la industria y agencias gubernamentales que comparten información sobre amenazas, mejores prácticas y nuevas herramientas. Esta es una práctica estándar en la industria de hoy. Sin embargo, no hemos estado en contacto con ninguna agencia gubernamental con respecto a los problemas que usted planteó.

Además, Supermicro no diseña ni fabrica chips de red ni el firmware asociado, y nosotros, al igual que otras compañías líderes de servidores / almacenamiento, los obtenemos de las mismas compañías líderes de redes.

Por último, como era de esperar, desde el Ministerio de Asuntos Exteriores chino también manifiestan su desconocimiento, asegurando trabajar siempre en pro de la ciberseguridad.

China es una decidida defensora de la ciberseguridad. Aboga por que la comunidad internacional trabaje en forma conjunta para enfrentar las amenazas de seguridad cibernética a través del diálogo sobre la base del respeto mutuo, la igualdad y el beneficio mutuo.

La seguridad de la cadena de suministro en el ciberespacio es un tema de preocupación común, y China también es una víctima. China, Rusia y otros estados miembros de la Organización de Cooperación de Shanghai propusieron un "Código de conducta internacional para la seguridad de la información" a las Naciones Unidas en 2011. Incluía un compromiso para garantizar la seguridad de la cadena de suministro de los productos de tecnología de la información y las comunicaciones. servicios, con el fin de evitar que otros estados utilicen sus ventajas en recursos y tecnologías para socavar el interés de otros países. Esperamos que las partes hagan acusaciones y sospechas menos gratuitas, pero que realicen conversaciones y una colaboración más constructivas para que podamos trabajar juntos en la construcción de un ciberespacio pacífico, seguro, abierto, cooperativo y ordenado.

El alcance de esta situación, de existir, es imposible de saber a día de hoy, dado que la investigación sigue en curso y no hay datos oficiales por parte del Gobierno de Estados Unidos no sus agencias de Inteligencia. Por el momento, lo único que resulta seguro es que la inseguridad y el recelo hacia la tecnología de China cada vez es mayor, con un panorama que no tiene visos de mejorar en el futuro más cercano.