El jueves pasado, el CEO de HP, Enrique Lores, abordó la controvertida práctica de la compañía de bloquear impresoras cuando los usuarios las cargan con tinta de terceros. En declaraciones a CNBC Television, dijo: «Hemos visto que se pueden incrustar virus en los cartuchos. A través del cartucho, [the virus can] ir a la impresora, [and then] desde la impresora, vaya a la red.»
Ese escenario aterrador podría ayudar a explicar por qué HP, que fue golpeada este mes con otra demanda por su sistema Dynamic Security, insiste en implementarlo en las impresoras.
Dynamic Security impide que las impresoras HP funcionen si se instala un cartucho de tinta sin chip HP o circuito electrónico HP. HP ha emitido actualizaciones de firmware que impiden que las impresoras con dichos cartuchos de tinta impriman, lo que llevó a la demanda anterior (PDF), que busca una certificación de demanda colectiva. La demanda alega que a los clientes de impresoras HP no se les informó que las actualizaciones del firmware de la impresora publicadas a finales de 2022 y principios de 2023 podrían provocar que las funciones de la impresora no funcionaran. La demanda busca daños monetarios y una orden judicial que impida a HP emitir actualizaciones de impresoras que bloqueen los cartuchos de tinta sin un chip HP.
¿Pero son los cartuchos de tinta pirateados algo que realmente debería preocuparnos?
Para investigar, recurrí al editor senior de seguridad de Ars Technica, Dan Goodin. Me dijo que no conocía ningún ataque utilizado activamente en la naturaleza que fuera capaz de utilizar un cartucho para infectar una impresora.
Goodin también le hizo la pregunta a Mastodon, y los profesionales de la ciberseguridad, muchos de ellos con experiencia en piratería de dispositivos integrados, se mostraron decididamente escépticos.
Otro comentarista, llamado Graham Sutherland / Polynomial en Mastodon, se refirió a la memoria de solo lectura programable y borrable eléctricamente (EEPROM) de detección de presencia en serie (SPD), una forma de memoria flash utilizada ampliamente en cartuchos de tinta, diciendo:
He visto y hecho algunas cosas de hardware realmente extravagantes en mi vida, incluido ocultar datos en SPD EEPROM en memorias DIMM (y reemplazarlos con microcontroladores para travesuras similares), así que créanme cuando digo que su afirmación es tremendamente inverosímil incluso en un en un entorno de laboratorio, y mucho menos en la naturaleza, y mucho menos a cualquier escala que afecte a empresas o individuos en lugar de a actores políticos seleccionados.
La evidencia de HP
Como era de esperar, la afirmación de Lores proviene de una investigación respaldada por HP. El programa de recompensas por errores de la compañía encargó a los investigadores de Bugcrowd determinar si es posible utilizar un cartucho de tinta como una amenaza cibernética. HP argumentó que los chips microcontroladores de los cartuchos de tinta, que se utilizan para comunicarse con la impresora, podrían ser una puerta de entrada para los ataques.
Como se detalla en un artículo de 2022 de la firma de investigación Actionable Intelligence, un investigador del programa encontró una manera de piratear una impresora mediante un cartucho de tinta de terceros. Según los informes, el investigador no pudo realizar el mismo truco con un cartucho HP.
Shivaun Albright, tecnólogo jefe de seguridad de impresión de HP, dijo en ese momento:
Un investigador encontró una vulnerabilidad en la interfaz serie entre el cartucho y la impresora. Básicamente, encontraron un desbordamiento del búfer. Ahí es donde tienes una interfaz que quizás no hayas probado o validado lo suficientemente bien, y el hacker pudo desbordar la memoria más allá de los límites de ese búfer en particular. Y eso les da la posibilidad de inyectar código en el dispositivo.
Albright añadió que el malware “permaneció en la memoria de la impresora” después de retirar el cartucho.
HP reconoce que no hay evidencia de que tal pirateo haya ocurrido en la naturaleza. Aún así, debido a que los chips utilizados en cartuchos de tinta de terceros son reprogramables (su «código se puede modificar mediante una herramienta de reinicio directamente en el campo», según Actionable Intelligence), son menos seguros, dice la compañía. Se dice que los chips son programables para que aún puedan funcionar en impresoras después de las actualizaciones de firmware.
HP también cuestiona la seguridad de las cadenas de suministro de las empresas de tintas de terceros, especialmente en comparación con la seguridad de su propia cadena de suministro, que cuenta con la certificación ISO/IEC.
Así que HP encontró una forma teórica de piratear los cartuchos, y es razonable que la empresa emita una recompensa por errores para identificar dicho riesgo. Pero se anunció su solución para esta amenaza. antes demostró que podría haber una amenaza. HP agregó capacitación en seguridad de cartuchos de tinta a su programa de recompensas por errores en 2020, y la investigación anterior se publicó en 2022. HP comenzó a utilizar Dynamic Security en 2016, aparentemente para resolver el problema que intentó demostrar que existía años después.
Además, los profesionales de ciberseguridad con los que Ars habló tienen la sensación de que incluso si tal amenaza existiera, se necesitaría un alto nivel de recursos y habilidades, que generalmente están reservados para atacar a víctimas de alto perfil. Siendo realistas, la gran mayoría de consumidores individuales y empresas no deberían tener serias preocupaciones sobre el uso de cartuchos de tinta para piratear sus máquinas.