China ha conseguido infiltrarse durante los últimos años en los sistemas informáticos de decenas de empresas de todo el mundo, incluidas Amazon o Apple, todo gracias a un microchip.
Esto ha sido posible gracias a un elaborado plan ejecutado en las cadenas de producción de los proveedores de Super Micro Computer (Supremicro), una de las principales empresas distribuidoras de placas base para servidores a nivel mundial.
Según Bloomberg Businessweek, tras una investigación aún en curso comenzada por el gobierno de Estados Unidos en 2015, se detectaron anomalías en los placas base de servidores de Elemental Technologies, una compañía adquirida posteriormente ese año por Amazon para su plataforma AWS (Amazon Web Services). Según las fuentes, que investigadores independientes como individuos del propio Gobierno, se han ido descubriendo las implicaciones de lo que parece una operación a gran escala orquestada desde el núcleo de China.
El quid de la cuestión se encuentra en un diminuto chip, del tamaño de la punta de un lapicero o de unas dimensiones tan reducidas como las de un grano de arroz. La problemática que presentan los millones de servidores provistos por Supermicro alrededor del mundo es que la implantación del chip se hacía directamente en el proceso de ensamblaje en las fábricas, complicando notablemente su posible detección.
«Algunos de los chips se construyeron para que parecieran receptores de señal, e incorporaron memoria, capacidad de conexión a la red y suficiente capacidad de procesamiento para un ataque», aseguran los descubridores.
Con estos pequeños dispositivos implantados en las placas base, eran enviados a Supermicro, que se encargaba (y encarga) de venderlos a diferentes compañías. En 2015 su cartera se extendía a más de 900 clientes en 100 países de todo el mundo. Una vez en los servidores, los microchips eran capaces de realizar modificaciones en las operaciones de estos y ser controlados de manera externa por los atacantes.
La acción pertenece presuntamente a un grupo del Ejército Popular de Liberación, el ejército nacional de la República Popular China, con respuesta directa al Gobierno del país, cuyas tensiones con Estados Unidos y su vocación por controlar internet y las comunicaciones son ya conocidas.
El análisis de la situación publicado hoy asegura que la situación con los servidores y el compromiso de los datos de los mismos era bien conocida por muchas de las empresas expuestas, entre las que se encuentran las mencionadas Apple y Amazon, que descubrieron las modificaciones en los servidores en 2015. El objetivo de las mismas era robar datos de propiedad intelectual y secretos comerciales de empresas norteamericanas, por lo que los datos de los usuarios no se habrían visto expuestos.
Sin embargo ambas compañías niegan tajantemente haber encontrado evidencias en el pasado acerca de este asunto ni tener conocimiento alguno de investigaciones por parte del Gobierno en relación a este aspecto. Apple asegura haber realizado investigaciones de manera periódica tras las numerosas veces que les contactó dicha publicación con información acerca de la infiltración en los servidores, no encontrando «ninguna evidencia» que respalde los datos del medio.
‘En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, «manipulaciones de hardware» o vulnerabilidades plantadas a propósito en ningún servidor. Apple nunca tuvo contacto con el FBI ni con ninguna otra agencia sobre tal incidente. No tenemos conocimiento de ninguna investigación por parte del FBI, ni nuestros contactos en la aplicación de la ley. […]
Como práctica, antes de que los servidores se pongan en producción en Apple, se los inspecciona en busca de vulnerabilidades de seguridad y actualizamos todo el firmware y el software con las últimas protecciones. No descubrimos ninguna vulnerabilidad inusual en los servidores que compramos de Super Micro cuando actualizamos el firmware y el software de acuerdo con nuestros procedimientos estándar. […]’
Por su parte, Amazon adopta una postura similar y descarta haber tenido cualquier conocimiento acerca de una posible situación de vulnerabilidad de datos en sus servidores.
‘Es falso que AWS supiera sobre un compromiso en la cadena de suministro, un problema con chips maliciosos o modificaciones de hardware al adquirir Elemental. También es falso que AWS supiera sobre los servidores que contienen chips maliciosos o modificaciones en centros de datos con sede en China, o que AWS trabajó con el FBI para investigar o proporcionar datos sobre hardware malicioso. […] No hemos encontrado pruebas que respalden las afirmaciones de chips maliciosos o modificaciones de hardware.
La auditoría previa a la adquisición describió cuatro problemas con una aplicación web (no hardware o chips) que SuperMicro proporciona para la administración de sus placas base. Todos estos hallazgos se abordaron completamente antes de que adquiriéramos Elemental. […]’
Desde Supermicro niegan, igualmente, tener constancia acerca de la situación con sus servidores:
‘Si bien cooperaríamos con cualquier investigación gubernamental, no tenemos conocimiento de ninguna investigación relacionada con este tema ni ninguna agencia gubernamental nos ha contactado al respecto. No tenemos conocimiento de ningún cliente que abandone Supermicro como proveedor para este tipo de problema.
Todas las grandes corporaciones en el clima de seguridad actual responden constantemente a las amenazas y evolucionan su postura de seguridad. Como parte de ese esfuerzo, estamos en contacto regular con una variedad de proveedores, socios de la industria y agencias gubernamentales que comparten información sobre amenazas, mejores prácticas y nuevas herramientas. Esta es una práctica estándar en la industria de hoy. Sin embargo, no hemos estado en contacto con ninguna agencia gubernamental con respecto a los problemas que usted planteó.
Además, Supermicro no diseña ni fabrica chips de red ni el firmware asociado, y nosotros, al igual que otras compañías líderes de servidores / almacenamiento, los obtenemos de las mismas compañías líderes de redes.’
Además, el Ministerio de Asuntos Exteriores chino también manifiestan su desconocimiento, asegurando trabajar siempre en pro de la ciberseguridad.
‘China es una decidida defensora de la ciberseguridad. Aboga por que la comunidad internacional trabaje en forma conjunta para enfrentar las amenazas de seguridad cibernética a través del diálogo sobre la base del respeto mutuo, la igualdad y el beneficio mutuo.
La seguridad de la cadena de suministro en el ciberespacio es un tema de preocupación común, y China también es una víctima. China, Rusia y otros estados miembros de la Organización de Cooperación de Shanghai propusieron un «Código de conducta internacional para la seguridad de la información» a las Naciones Unidas en 2011. Incluía un compromiso para garantizar la seguridad de la cadena de suministro de los productos de tecnología de la información y las comunicaciones. servicios, con el fin de evitar que otros estados utilicen sus ventajas en recursos y tecnologías para socavar el interés de otros países. Esperamos que las partes hagan acusaciones y sospechas menos gratuitas, pero que realicen conversaciones y una colaboración más constructivas para que podamos trabajar juntos en la construcción de un ciberespacio pacífico, seguro, abierto, cooperativo y ordenado.’
Entre sí son peras o son manzanas… el claro ejemplo de cómo las empresas y los gobiernos juegan con nosotros, los consumidores, es Cambridge Analytica.
Deja un comentario