Esta innovación inquietante ha sido posible gracias al trabajo del analista Christiaan Beek, de la firma de ciberseguridad Rapid7, quien ha demostrado que es viable usar actualizaciones de microcódigo para ocultar malware directamente en la CPU. Aunque su investigación no será publicada ni compartida con fines maliciosos, el solo hecho de que esto sea técnicamente posible ha encendido las alarmas en el sector.
¿Qué es el microcódigo y por qué es importante?
Para entender la gravedad de este hallazgo, primero hay que comprender qué es el microcódigo. El microcódigo es una capa de bajo nivel que traduce las instrucciones del software al lenguaje que el procesador realmente entiende. Los fabricantes de chips, como AMD o Intel, lo utilizan para corregir errores o mejorar el rendimiento sin necesidad de cambiar el hardware.
Pero este mismo nivel de acceso profundo también puede convertirse en una puerta trasera. Modificar el microcódigo permite alterar el comportamiento del procesador, y si esta alteración tiene fines maliciosos, el resultado puede ser un ransomware indetectable por cualquier software de seguridad convencional.
El caso AMD y la instrucción RDRAND
La prueba de concepto de Beek se inspiró en una vulnerabilidad crítica encontrada en procesadores AMD Zen. Investigadores de Google descubrieron que era posible modificar la instrucción RDRAND, que se utiliza para generar números aleatorios, para que siempre devuelva un mismo valor (por ejemplo, el número 4).
Aunque parezca un truco sin consecuencias, esta modificación demuestra que el microcódigo no es intocable, y que si se puede cambiar, se puede abusar. A partir de esta base, Beek desarrolló un ransomware que se esconde directamente en la CPU.
¿Qué significa esto para los usuarios?
En términos prácticos, si un ransomware se oculta en el microcódigo del procesador, no hay antivirus ni herramientas de monitoreo que puedan detectarlo fácilmente. Las soluciones de seguridad actuales se centran en el sistema operativo y el software que corre sobre él. Pero este tipo de amenaza opera por debajo de todo eso.
Incluso si se formatea el disco duro o se reinstala el sistema operativo, el malware seguiría allí, agazapado en el corazón del hardware.
No es solo teoría: casos reales como BlackLotus y UEFI
La idea de atacar las capas más profundas del sistema no es nueva. El malware BlackLotus ya ha demostrado que se puede comprometer el firmware UEFI, encargado de iniciar el ordenador antes de que cargue el sistema operativo, incluso cuando está protegido con Secure Boot.
Además, los archivos filtrados del grupo de ransomware Conti en 2022 revelaron que ya estaban explorando métodos para instalar ransomware en el firmware UEFI, con la idea de cifrar datos antes incluso de que el sistema operativo se cargue.
«Si modificamos el firmware UEFI, podemos activar el cifrado antes de que el sistema se inicie. Ningún antivirus puede detectar eso», afirmaban.
La industria tecnológica, bajo escrutinio
Beek critica abiertamente a la industria tecnológica por descuidar los fundamentos de la seguridad informática. Mientras muchas empresas concentran sus recursos en desarrollar inteligencia artificial generativa, asistentes virtuales y chatbots, las bases del hardware siguen desprotegidas.
Este descuido ha permitido que los ciberdelincuentes sigan explotando vulnerabilidades simples, como contraseñas débiles o mala implementación de la autenticación multifactor, generando miles de millones en ingresos para bandas organizadas.
¿Qué se puede hacer?
Aunque la amenaza es real, no todo está perdido. Estas técnicas son extremadamente complejas y requieren un nivel de acceso físico o privilegios administrativos muy elevado. Por ahora, la mejor defensa sigue siendo mantener el firmware actualizado, usar contraseñas robustas y aplicar buenas prácticas de seguridad en todos los niveles, desde el hardware hasta el software.
Los fabricantes también deben reforzar los mecanismos que impiden la actualización no autorizada del microcódigo y establecer validaciones más estrictas para las actualizaciones de firmware.
Una advertencia con sabor a futuro
La investigación de Beek no representa una amenaza inmediata para el usuario común, pero funciona como un aviso contundente: los atacantes siempre encontrarán nuevos caminos si las defensas no evolucionan al mismo ritmo. Y en este caso, el camino lleva directo al corazón del silicio.
☞ El artículo completo original de Natalia Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario