Por Ángel Jiménez De Luis

¿Están Apple Amazon y otras grandes tecnológicas siendo espiadas por el fabricante de sus servidores web?

Las compañías niegan las evidencias descubiertas en una larga investigación que señala un grandísimo riesgo en la estructura de sus negocios

Un pequeño chip, no mayor que un grano de arroz, trae de cabeza desde el pasado viernes a las mayores empresas tecnológicas y expertos de seguridad del mundo. Según una investigación de la publicación Bloomberg Businessweek, en la que han contribuido seis fuentes diferentes de los servicios de inteligencia de los Estados Unidos, China lo habría usado para espiar las actividades de más de 30 compañías, entre ellas Apple y Amazon, y varias organizaciones militares estadounidenses.El chip se ocultaba entre los componentes las placas madre de los servidores de la compañía norteamericana Super Micro, un conocido proveedor de hardware empresarial.

Super Micro no vende productos para consumidor doméstico sino ordenadores preparados para integrarse en las grandes estructuras de servidores y centros de datos que utilizan estas grandes empresas.Con el aspecto de un acoplador de señal -un componente común en este tipo de productos- este chip era capaz de abrir un canal de comunicaciones a un servidor remoto en China, desde el que era posible modificar cualquier sistema operativo instalado en la máquina para añadir, por ejemplo, una puerta trasera desde la que extraer los datos almacenados.Aunque estos servidores los diseñaba en EE.UU. la propia Super Micro, la fabricación se hacía en China a través de una sub contrata, lo cual, en principio, no es nada extraño. Casi el 90% de los PCs y sus componentes se fabrican en ese país.Durante el proceso de ensamblaje, un operario de la fábrica habría alterado los planos para incluir el nuevo componente que, dado su diminuto tamaño, pasaría desapercibido en una inspección visual. Según Bloomberg, era capaz de interceptar el tráfico de datos en su viaje desde la memoria del sistema al procesador, introduciendo código alternativo.El chip habría sido descubierto por empleados de Amazon durante el proceso de compra de una compañía de streaming de vídeo, Elemental, en el año 2015.Como parte de una auditoría previa a la compra, los empleados analizaron los servidores que usaba Elemental, fabricados por Super Micro, y detectaron el chip. Contactaron con los servicios de inteligencia norteamericanos, que desde entonces han tratado de detectar qué rama del ejército chino podría haber sido responsable de este ingenioso ataque.Negación rotundaA partir de aquí, la historia se vuelve más compleja. Bloomberg BusinessWeek ha explicado que para realizar el reportaje ha invertido un año y hablado con seis fuentes diferentes de las agencias de inteligencia estadounidenses, tres de Apple y dos de Amazon, las dos empresas que están reflejadas de forma más prominente en el artículo. Las fuentes figuran como anónimas en todos los casos dada la sensibilidad del asunto.Sin embargo, tanto Amazon como Apple han negado los hechos que están reflejados de forma categórica y con una intensidad poco habitual en este tipo de situaciones.

En 2013, por ejemplo, una investigación del Wall Street Journal reveló que varias empresas tecnológicas, como Apple o Google, colaboraban de forma habitual con el FBI en investigaciones criminales.Las compañías negaron algunos de los puntos reflejados en el artículo, como el hecho de que el FBI tenía acceso directo a sus servidores, pero en un lenguaje lo suficientemente ambiguo como para dar a entender que sí habían colaborado usando otras vías.En este caso, la respuesta ha sido rotunda. Apple, tanto en respuesta al artículo de Bloomberg como en sucesivos artículos, ha afirmado que nunca ha detectado este tipo de chips en sus servidores, a pesar de haber realizado varias auditorías de seguridad tras ser contactados por los responsables de la investigación.Bloomberg, por ejemplo, apunta específicamente a los servidores de Siri y Topsy (un servicio de análisis de métricas sociales) como afectados por esta vulnerabilidad, pero Apple ha explicado que el servicio de voz Siri no ha estado nunca alojado en servidores Super Micro y aunque Topsy los usa, no son 7.000 como asegura Bloomberg en el artículo, sino 2.000. “Tras analizar varias veces y con detenimiento todos los servidores no hemos encontrado en ninguna instancia ningún componente modificado”, asegura la empresa.Apple, en cualquier caso, dejó de usar hardware de Super Micro para sus servidores en 2015, poco después de la fecha que Bloomberg apunta como origen de la investigación, aunque según la compañía los motivos no están relacionados. También ha negado públicamente estar bajo una orden de silencio por parte de una agencia gubernamental, una negación que tendría consecuencias legales y económicas importantes para la empresa de no ser cierta.Amazon ha ido más allá, asegurando que muchos de los datos que figuran en el artículo son directamente falsos. “Jamás detectamos este tipo de problemas durante el proceso de adquisición de Elemental y no hemos estado en contacto con ninguna organización de inteligencia sobre este asunto”, aseguran.Super Micro, cuyas acciones se desplomaron un 40% el viernes, ha negado también que sus servidores tuvieran este chip y asegura que ningún cliente se ha puesto en contacto con ellos para indicarles que lo hubiesen detectado.

Un ataque posibleAunque la posibilidad de introducir vulnerabilidades en la fase de fabricación en China es un escenario de seguridad que se ha contemplado con anterioridad, siempre se consideraba la modificación del software como la vía más lógica para usar por los servicios de inteligencia. En consecuencia, se suele prestar especial atención al código que se integra en los diferentes componentes.Añadir un componente físico que no debería estar originalmente en una placa hace más fácil la detección pero tiene ventajas, como la imposibilidad de crear parches de seguridad que bloqueen su funcionamiento. Es un ataque muy sofisticado, pero “posible”, según han manifestado algunos expertos de seguridad en las últimas horas, aunque dudan que el componente que parece en las fotos dela artículo de Bloomberg reflejen realmente el aspecto del chip.La información llega en un momento de gran tensión en las relaciones entre Estados Unidos y China. El gobierno de Trump ha aplicado nuevos aranceles a muchos de los productos fabricados en el país y China ha respondido gravando también varios productos estadounidenses.Entre las agencias de seguridad, la desconfianza hacia marcas chinas de electrónica también ha crecido. Muchas prohiben a sus empleados usar teléfonos de fabricantes como Huawei o ZTE y el gobierno de Trump ha prohibido también usar sus componentes en el despliegue de la nueva generación de redes inalámbricas de telefónica 5G.Bloomberg, sin embargo, ha explicado que las investigaciones comenzaron durante el gobierno de Obama y que no obedecen a ninguna estrategia política.