China utilizó un diminuto chip para espiar a Apple y Amazon y decenas de empresas de EE UU
Bloomberg revela un supuesto gran ‘hackeo’ que habría afectado a unas 30 corporaciones de ese país El fabricante del iPhone y la firma de Jeff Bezos niegan la información
El Gobierno chino ha utilizado diminutos chips para infiltrarse y espiar a empresas estadounidenses, en total unas 30, entre ellas pesos pesados de la industria tecnológica como Apple y Amazon. Así lo ha revelado hoy Bloomberg, que detalló la técnica empleada por operarios del Ejército Popular de Liberación, que habrían insertado chips del tamaño de un grano de arroz en placas base fabricadas en China, que después se vendieron incluidas en servidores a las compañías afectadas por la empresa Super Micro Computer, con sede en San Jose (California). Un modus operandi que habría dificultado su detección. Tras desvelarse la noticia, Apple, Amazon y Super Micro negaron la información. Bloomberg, por su parte, asegura que cuenta con más de 17 fuentes gubernamentales y corporativas que confirman los hechos.
La agencia explicó que las autoridades estadounidenses arrancaron la investigación sobre los hechos en 2015 y aún siguen abiertas. También apuntaron que los chips han sido usados para acceder a información sensible de las compañías (propiedad intelectual y secretos comerciales). No se tiene constancia de que los datos de los consumidores hayan sido robados. “Los chips se construyeron para que parecieran receptores de señal, y se les incorporó memoria, capacidad de conexión a la red y suficiente capacidad de procesamiento para un ataque”, añadió Bloomberg.
El caso se precipitó cuando Amazon se interesó por comprar Elemental Technologies, una startup con tecnología para comprimir audios y vídeos. La empresa de Jeff Bezos contrató a otra compañía para que auditara la seguridad de los servidores de dicha empresa antes de su compra y descubrió que en sus servidores había un minúsculo chip que no formaba parte del diseño original de las placas madre. Dichos servidores fueron ensamblados para Elemental por Super Micro, que en 2015 contaba con más de 900 clientes en 100 países.
Aunque la información de Bloomberg asegura que tanto Apple como Amazon conocían los hechos desde hace tiempo, ambas lo negaron a través de sendos comunicados. La primera dijo estar “profundamente decepcionada” con los periodistas de la agencia, que no han tenido en cuenta que sus fuentes pueden estar equivocadas o mal informadas. Según Bloomberg, Apple retiró los servidores de Super Micro ese año por esta razón y cortó los lazos con esta compañía en 2016.
“Creemos que confunden su historia con otro caso reportado con anterioridad”, aseguró Apple, que añadió que nunca han encontrado “chips maliciosos, manipulaciones de hardware o vulnerabilidades plantadas a propósito en ningún servidor”. “Tampoco hemos tenido contacto con el FBI ni con ninguna otra agencia sobre tal incidente”. Apple resaltó también que, como práctica, “antes de que los servidores se pongan en producción en Apple, se inspeccionan en busca de vulnerabilidades de seguridad y actualizamos todo el firmware y el software con las últimas protecciones, y no hemos encontrado ninguna vulnerabilidad inusual en los servidores que compramos a Super Micro”.
Amazon también afirmó, por su parte, que era falso que AWS [su filial de infraestructura cloud] supiera que los servidores contenían esos chips y que hayan trabajado con el FBI para investigar o proporcionar datos sobre este asunto. Según el gigante del ecommerce, la auditoria previa a la compra de Elemental describió algunos problemas con una aplicación web que Super Micro proporciona para la administración de sus placas base. Super Micro también emitió una nota afirmando que no tienen conocimiento de ninguna investigación sobre este asunto.
Pese a la gravedad de las acusaciones, el Gobierno chino no confirmó ni desmintió ayer el chakeo. A través de su Ministerio de Exteriores aseguró que “China es una firme defensora de la ciberseguridad” y que abogan “porque la comunidad internacional trabaje de forma conjunta para enfrentarse a las nuevas amenazas de seguridad cibernéticas”. Por el momento, ni el Gobierno de EE UU ni el FBI habían hecho declaraciones oficiales sobre el caso.
Un ataque sigiloso y grave
Tres años de investigación. Bloomberg detalló que Amazon informó al Gobierno de EE UU del descubrimiento del chip espía en los servidores de Elemental en 2015. Un hecho que, según las fuentes consultadas por la agencia, desató los peores temores de la inteligencia estadounidense, pues dichos servidores se estaban utilizando también en diferentes organismos estratégicos del gobierno de EE UU, como el Departamento de Defensa, la unidad de drones de la CIA o la Marina. Además, Elemental era solo uno de los clientes de Super Micro.
Más devastador. Este tipo de ataque por hardware es más complejo de efectuar, pero potencialmente es mucho más devastador y promete un acceso a información sensible a largo plazo, según Bloomberg. La agencia resaltó que China tiene una ventaja para ejecutar este tipo de ataques al fabricar en sus plantas el 75% de los móviles y el 90% de los PC del mundo.