China ocultó chips especiales en servidores para infiltrarse en empresas de EEUU según Bloomberg

Alejo I
La agencia de noticias Bloomberg ha publicado un largo y extraordinariamente denso artículo en el que afirma que los servicios de espionaje de China se infiltraron en uno de los grandes fabricantes de placas base para servidores con el propósito de modificar sus productos y facilitar el lanzamiento de ataques a empresas de Estados Unidos. Titulado como "The Big Hack", el texto señala a Apple y Amazon como dos de las empresas en el punto de mira.

El origen de la historia, según afirma Bloomberg, nos lleva a 2015, cuando Amazon comenzó a evaluar la adquisición de Elemental Technologies, una startup especializada en compresión de vídeo. Como parte del proceso contrató los servicios de una firma especializada para evaluar la seguridad de la empresa. Varios de sus servidores fueron enviados por los investigadores, que descubrieron la presencia de un chip "no mucho más grande que un grano de arroz" que no formaba parte del diseño original de las placas base.

Modificaciones realizadas en la propia fábrica

Las alarmas se encendieron de inmediato. Amazon se puso en contacto con las autoridades estadounidenses, a su vez preocupadas por el hecho de que los centros de datos del Departamento de Defensa, las redes de los buques de la Marina y los centros de operaciones de drones de la CIA hacían uso de los servidores de Elemental, cuyo hardware era fabricado por el gigante chino Super Micro.

De acuerdo con el relato de Bloomberg, las pesquisas determinaron que estos chips no documentados permitían abrir puertas traseras invisibles a cualquier red a la que estuvieran conectados los servidores. Igual de preocupante era el hecho de que habían sido instalados en las propias líneas de producción.

No se trata de un hecho escasamente significativo, puesto que esto implica la modificación y el rediseño del hardware original a un nivel extraordinariamente profundo. Los servicios de inteligencia chinos tendrían por tanto "un profundo conocimiento del diseño de un producto", la capacidad para manipular componentes en la fábrica y los recursos necesarios para asegurarse de que las placas base modificadas llegaban a los clientes deseados.

Según un experto citado por Bloomberg, "que salga a la luz un implante de hardware bien hecho, a nivel de un estado-nación, sería como presenciar un unicornio saltando un arcoíris. El hardware está tan alejado del radar que se trata como si fuera magia negra." Y sin embargo esto sería lo que habrían descubierto las autoridades estadounidenses. De acuerdo con dos fuentes anónimas consultadas por Bloomberg, la responsabilidad recaería en agentes de una unidad del Ejército Popular de Liberación.

Puesto que Super Micro es uno de los mayores fabricantes de placas y componentes para servidores, el número de compañías afectadas es elevado. Bloomberg señala que "casi 30" empresas utilizaban servidores modificados en secreto, incluyendo "un gran banco", contratistas gubernamentales y Apple, que había planeado la compra de 30.000 servidores de Super Micro hasta que también en 2015 detectó chips maliciosos y finalizó su relación con el fabricante.

Apple y Amazon niegan todo conocimiento

La noticia es llamativa no solo por el contenido y sus implicaciones, sino por el hecho de que Apple y Amazon han querido realizar comentarios al respecto. Según Apple, sus expertos llevaron a cabo "rigurosas investigaciones internas" basadas en las preguntas realizadas por Bloomberg durante la realización del artículo y "no encontraron evidencia alguna" de vulnerabilidades, "refutando virtualmente casi todos los aspectos de la historia de Bloomberg relacionados con Apple".

Amazon, por su parte, afirma que "no es cierto que AWS supiera acerca de problemas en la cadena de suministro, problemas con chips maliciosos o modificaciones de hardware durante la adquisición de Elemental", así como que no es cierto que AWS tuviera constancia de "servidores con chips maliciosos o modificaciones en centros de datos en China, o que AWS trabajara con el FBI para investigar o proporcionar datos sobre hardware malicioso".

Bloomberg responde a estas réplicas asegurando que seis personas relacionadas con la seguridad nacional han proporcionado información detallada sobre los hackeos, incluyendo la colaboración de AWS en las investigaciones. A estos confidentes se suman tres miembros de Apple y varias personas más, formando un grupo de diecisiete personas que habrían "confirmado la manipulación del hardware de Super Micro y otros elementos en los ataques". En el objetivo, asegura una de las fuentes, estaba lograr el "acceso a largo plazo a secretos corporativos de gran valor y redes gubernamentales".

Super Micro y China, como era de esperar, también han negado las informaciones. Los desmentidos han sido recogidos por la propia Bloomberg.

La concentración de la producción electrónica en China despierta recelos

Actualmente China produce más del 75% de los teléfonos móviles y aproximadamente el 90% de los ordenadores personales, detalla Bloomberg. Por este motivo numerosos países temen que las autoridades chinas podrían tener a su alcance la introducción de modificaciones en todo tipo de hardware con el propósito de debilitar la seguridad de empresas y ministerios. Se trata de un riesgo considerado con creciente seriedad, aunque no hay mucho que se pueda hacer cuando la producción está concentrada en China.

Estados Unidos, que mantiene una posición de abierta beligerancia contra firmas como Huawei por la supuesta inseguridad de su hardware, es uno de los pocos países que mantiene cierto control sobre su cadena de suministro a través de iniciativas como Trusted Foundry. Este programa engloba una serie compañías relacionadas con la producción de componentes electrónicos que siguen estrictas medidas de protección y control de sus procesos para asegurar la integridad de hardware considerado como esencial para la seguridad nacional.

Muchos otros países no cuentan con las empresas ni las capacidades productivas suficientes para desarrollar este tipo de iniciativas, por lo que deben conformarse con realizar auditorías al hardware fabricado en el extranjero.
Fuente: Bloomberg