Cadena de suministro de Apple, Amazon y otras empresas posible víctimas del mayor hack de hardware en la historia
Si bien no hemos terminado de digerir el hackeo de Facebook y de las claves de sus 50 millones de usuarios, ahora nos enteremos de una operación con repercusiones de mucho mayor impacto entre China y Estados Unidos.
El pasado Jueves el importante medio Americano Bloomberg publicó un explosivo reporte detallando una operación de implante de microchips provenientes de China que data desde 2015. Los microchips (del tamaño de una punta de lápiz) eran implantados desde origen en una compañía encargada de maquillar tarjetas madre para fabricantes de servidores.
Supermicro es el fabricante de dichos servidores; basado en San José, California, y con contratos multimillonarios con cientos de empresas de tecnología en Estados Unidos, incluyendo Apple, Amazon y el gobierno de los Estados Unidos.
El reporte también indica que hasta el momento, ni Apple, Amazon, ni China o el gobierno de EEUU se han declarado conocedores del evento. Sin embargo, el reporte se originó por docenas de testigos que dieron fé y testimonio de los hechos, así como por subsecuentes acciones de seguimiento que evidencian las sospechas del hardware comprometido.
Más allá de un cambio de proveedores por las empresas involucradas, no se sabe si los hechos tendrán un impacto mayor en el corto plazo.
Tampoco se conoce si las empresas encargadas de maquillar esos chips estaban enteradas de esta operación.
Una Cadena de Suministro Comprometida
La fabricación de componentes para servidores es una industria multimillonaria que no tiene el glamour de muchas de las empresas de Silicon Valley, pero cuya existencia depende directamente de dicha región.
Millones de circuitos a la medida son producidos cada año en fabricas Chinas o del sureste de Asia. De forma similar a como se producen la mayoría de los productos de consumo como Nike, Under Armour, o incluso componentes automotrices. De los cientos o miles de componentes que conformar un producto final, hay docenas o centenas de proveedores involucrados en el maquinado de productos.
En este caso, el hackeo no se dio en el software de los equipos involucrados, ni en uno de los eslabones de la cadena de suministro, sino en el origen mismo de la cadena.
En cualquier caso, uno de los beneficiados indirectos de este posible hackeo es México, uno de los principales socios comerciales de los Estados Unidos, y un potencial nuevo proveedor de fabricación de microchips.
El Mayor Hackeo de Hardware de la Historia
Según uno de los entrevistados en dicho artículo, el grado de sofisticación de la operación es como lanzar una varita de madera por río Yang Tze, y esperar que esa misma varita sea recogida en un lago en Seattle.
Dicha acción, llevada a cabo hace tres años, evidencia el nivel de progreso que han conseguido los equipos de hackeo internacionales.
El chip implantado les permitía abrir (de forma casi indefectible) una puerta de acceso al chip central de cada tarjeta comprometida. Una versión posterior del mismo chip es menor que la punta de un lápiz.
Aunque no está claro que los chips hayan sido utilizados de forma regular, el medio aclara que los chips no estaban diseñados para el robo de datos de consumo.
Dado su impacto y alcance de largo plazo, este hackeo podría ser similar a las fallas en el diseño de chips mejor conocidas como Meltdown y Spectre y reportadas a comienzos del 2018.
Los principales involucrados en el reporte de Bloomberg han sustituido los servidores involucrados, sin aceptar públicamente el posible origen Chino de dicho implante de hardware como la causa del reemplazo.
El impacto de este hackeo es prácticamente nulo para los consumidores y pequeñas empresas. El impacto para las grandes empresas de tecnología y el propio gobierno de los EEUU es desconocido hasta el momento.
Su negativa ante este reportaje, y el hecho de que no haya salido a la luz tres años posteriores al momento en que fue detectado, es evidencia de que el grado de sofisticación de los adversarios de los EEUU es posiblemente mayor del que están dispuestos a aceptar. Y es también evidencia de que la ciberguerra ya comenzó hace varios años.
Parafraseando al grandísimo Gil-Scott Heron, la ciber guerra no será publicada. La ciber guerra será en tiempo real.
Crédito de la imagen de portada: Bloomberg