Los fallos de seguridad en el firmware de su computadora, el código arraigado que se carga primero cuando enciende la máquina y controla incluso cómo se inicia su sistema operativo, han sido durante mucho tiempo un objetivo para los piratas informáticos que buscan un punto de apoyo sigiloso. Pero solo en raras ocasiones ese tipo de vulnerabilidad aparece no en el firmware de un fabricante de computadoras en particular, sino en los chips que se encuentran en cientos de millones de PC y servidores. Ahora, los investigadores de seguridad han encontrado un fallo de este tipo que ha persistido en los procesadores AMD durante décadas, y que permitiría que el malware se introduzca lo suficientemente profundo en la memoria de una computadora como para que, en muchos casos, sea más fácil descartar una máquina que desinfectarla. En la conferencia de hackers Defcon, Enrique Nissim y Krzysztof Okupski, investigadores de la empresa de seguridad IOActive, planean presentar una vulnerabilidad en los chips AMD a la que llaman Sinkclose. El fallo permitiría a los piratas informáticos ejecutar su propio código en uno de los modos más privilegiados de un procesador AMD, conocido como Modo de administración del sistema, diseñado para reservarse solo para una parte específica y protegida de su firmware. Los investigadores de IOActive advierten de que afecta a prácticamente todos los chips AMD fabricados a partir de 2006, o incluso antes. Nissim y Okupski señalan que para explotar el fallo los piratas informáticos tendrían que haber obtenido ya un acceso relativamente profundo a un PC o servidor basado en AMD, pero que el fallo de Sinkclose les permitiría entonces introducir su código malicioso en un nivel mucho más profundo. De hecho, los investigadores de IOActive advierten de que un atacante podría infectar cualquier máquina con uno de los chips AMD vulnerables con un malware conocido como «bootkit», que evade las herramientas antivirus y es potencialmente invisible para el sistema operativo, al tiempo que ofrece a un hacker acceso total para manipular la máquina y vigilar su actividad. En el caso de los sistemas con determinadas configuraciones defectuosas en la forma en que un fabricante de ordenadores implementó la función de seguridad de AMD conocida como Platform Secure Boot (que, según advierten los investigadores, abarca la gran mayoría de los sistemas que probaron), una infección de malware instalada a través de Sinkclose podría ser aún más difícil de detectar o remediar, afirman, y sobrevivir incluso a una reinstalación del sistema operativo. “Imagínese que los piratas informáticos de un estado-nación o de quien sea quieren seguir en su sistema. Incluso si borra su disco duro, seguirá estando allí”, dice Okupski. “Será casi indetectable y casi imposible de reparar”. Solo abrir la carcasa de una computadora, conectarse físicamente de forma directa a una determinada parte de sus chips de memoria con una herramienta de programación basada en hardware conocida como programador SPI Flash y rastrear meticulosamente la memoria permitiría eliminar el malware, dice Okupski. Nissim resume ese peor escenario en términos más prácticos: “Básicamente, tiene que tirar su computadora a la basura”. En una declaración compartida con WIRED, AMD reconoció los hallazgos de IOActive, agradeció a los investigadores por su trabajo y señaló que ha “lanzado opciones de mitigación para sus productos de centro de datos AMD EPYC y productos de PC AMD Ryzen, con mitigaciones para productos integrados de AMD que estarán disponibles próximamente”. (El término «integrado», en este caso, se refiere a los chips AMD que se encuentran en sistemas como dispositivos industriales y automóviles). En el caso específico de sus procesadores EPYC diseñados para su uso en servidores de centros de datos, la empresa señaló que lanzó parches a principios de este año. AMD se negó a responder preguntas por adelantado sobre cómo pretende solucionar la vulnerabilidad de Sinkclose, o exactamente para qué dispositivos y cuándo, pero señaló una lista completa de productos afectados que se puede encontrar en la página del boletín de seguridad de su sitio web.