Peter Mell e Irena Bojanova, investigadores del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), publicaron el 14 de noviembre un informe que analizó de forma exhaustiva las vulnerabilidades de hardware que podrían afectar a millones de dispositivos en todo el mundo. "El hardware suele asumirse como robusto desde una perspectiva de seguridad", señalaron los investigadores. Sin embargo, los chips modernos contienen millones de componentes y software integrado, conocido como firmware.
A diferencia de las fallas en el software, que podés corregir con actualizaciones, los defectos de hardware están incrustados en el silicio, lo que los hace casi imposibles de reparar.
El problema del silicio: cuando la seguridad del hardware falla
¿Te acordás de los casos de Spectre y Meltdown, esas vulnerabilidades en procesadores que generaron pánico en la industria tecnológica en 2018? Según el informe del NIST, aquello fue solo un adelanto de lo que puede pasar cuando la seguridad del hardware falla. El estudio identificó siete grandes categorías de vulnerabilidades en hardware, cada una representando un vector de ataque para comprometer dispositivos.
Problemas de control de acceso: los investigadores identificaron 43 escenarios donde usuarios no autorizados podrían acceder a información sensible o controlar sistemas. Un defecto en el hardware puede desencadenar una cadena de vulnerabilidades en el software, comprometiendo la seguridad del dispositivo por completo.
Gestión de recursos: encontraron 40 fallos en la gestión de memoria y energía. Estos problemas permiten a los atacantes manipular cómo el dispositivo usa sus recursos, provocando bloqueos o accediendo a información sensible almacenada en la memoria.
Fallos en los mecanismos de seguridad: detectaron 15 formas en que los mecanismos básicos de seguridad del hardware pueden fallar, exponiendo datos sensibles o permitiendo accesos no autorizados. Estas vulnerabilidades no las podés corregir con simples actualizaciones de software.
Errores en estándares de codificación: incluso el hardware requiere programación, y el informe identificó 14 escenarios donde malas prácticas en el diseño crearon vulnerabilidades permanentes.
Problemas en el flujo de control: los atacantes pueden manipular cómo el hardware procesa instrucciones, afectando el funcionamiento del dispositivo a nivel fundamental. Identificaron 11 escenarios de este tipo.
Manejo incorrecto de errores: cuando ocurren situaciones inesperadas, el hardware debe gestionarlas de manera segura. NIST detectó cinco escenarios donde esto falla, permitiendo potenciales accesos no autorizados.
Errores de comparación: aunque identificaron solo un caso, su impacto es crítico. Se trata de fallos al comparar valores, como contraseñas, que pueden permitir el acceso a información restringida.