\n<\/p>\n
Ocultar programas maliciosos<\/span> en el firmware UEFI de una computadora, el c\u00f3digo profundamente arraigado que le dice a una PC c\u00f3mo cargar su sistema operativo, se ha convertido en un truco insidioso en el conjunto de herramientas de los piratas inform\u00e1ticos sigilosos. Pero cuando un fabricante de placas base instala su propia puerta trasera oculta en el firmware de millones de computadoras, y ni siquiera coloca un candado adecuado en esa entrada trasera oculta, pr\u00e1cticamente est\u00e1n haciendo el trabajo de los piratas inform\u00e1ticos por ellos.<\/p>\n Investigadores de la empresa de ciberseguridad centrada en firmware Eclypsium revelaron hoy que descubrieron un mecanismo oculto en el firmware de las placas base vendidas por el fabricante taiwan\u00e9s Gigabyte, cuyos componentes se usan com\u00fanmente en PC para juegos y otras computadoras de alto rendimiento. Cada vez que se reinicia una computadora con la placa base Gigabyte afectada, descubri\u00f3 Eclypsium, el c\u00f3digo dentro del firmware de la placa base inicia de manera invisible un programa de actualizaci\u00f3n que se ejecuta en la computadora y, a su vez, descarga y ejecuta otra pieza de software.<\/p>\n Si bien Eclypsium dice que el c\u00f3digo oculto est\u00e1 destinado a ser una herramienta inocua para mantener actualizado el firmware de la placa base, los investigadores descubrieron que se implementa de manera insegura, lo que podr\u00eda permitir que el mecanismo sea secuestrado y utilizado para instalar malware en lugar del programa previsto por Gigabyte. Y debido a que el programa de actualizaci\u00f3n se activa desde el firmware de la computadora, fuera de su sistema operativo, es dif\u00edcil para los usuarios eliminarlo o incluso descubrirlo.<\/p>\n \u201cSi tiene una de estas m\u00e1quinas, debe preocuparse por el hecho de que b\u00e1sicamente toma algo de Internet y lo ejecuta sin que usted est\u00e9 involucrado, y no ha hecho nada de esto de manera segura\u201d, dice John Loucaides, quien dirige la estrategia. e investigaci\u00f3n en Eclypsium. \u201cEl concepto de pasar por debajo del usuario final y hacerse cargo de su m\u00e1quina no le sienta bien a la mayor\u00eda de las personas\u201d.<\/p>\n En su publicaci\u00f3n de blog sobre la investigaci\u00f3n, Eclypsium enumera 271 modelos de placas base Gigabyte que, seg\u00fan los investigadores, est\u00e1n afectados. Loucaides agrega que los usuarios que desean ver qu\u00e9 placa base usa su computadora pueden verificar yendo a \u00abInicio\u00bb en Windows y luego a \u00abInformaci\u00f3n del sistema\u00bb.<\/p>\n Eclypsium dice que encontr\u00f3 el mecanismo de firmware oculto de Gigabyte mientras revisaba las computadoras de los clientes en busca de c\u00f3digo malicioso basado en firmware, una herramienta cada vez m\u00e1s com\u00fan empleada por piratas inform\u00e1ticos sofisticados. En 2018, por ejemplo, se descubri\u00f3 que los piratas inform\u00e1ticos que trabajaban en nombre de la agencia de inteligencia militar GRU de Rusia instalaron silenciosamente el software antirrobo basado en firmware LoJack en las m\u00e1quinas de las v\u00edctimas como una t\u00e1ctica de espionaje. Los piratas inform\u00e1ticos patrocinados por el estado chino fueron descubiertos dos a\u00f1os despu\u00e9s reutilizando una herramienta de spyware basada en firmware creada por la firma de hackers contratados Hacking Team para apuntar a las computadoras de diplom\u00e1ticos y personal de ONG en \u00c1frica, Asia y Europa. Los investigadores de Eclypsium se sorprendieron al ver que sus escaneos de detecci\u00f3n automatizados marcan el mecanismo de actualizaci\u00f3n de Gigabyte por llevar a cabo algunos de los mismos comportamientos turbios que esas herramientas de pirater\u00eda patrocinadas por el estado: ocultarse en el firmware e instalar silenciosamente un programa que descarga c\u00f3digo de Internet.<\/p>\n El actualizador de Gigabyte por s\u00ed solo podr\u00eda haber despertado la preocupaci\u00f3n de los usuarios que no conf\u00edan en que Gigabyte instale silenciosamente el c\u00f3digo en su m\u00e1quina con una herramienta casi invisible, o que se preocupen de que los piratas inform\u00e1ticos puedan explotar el mecanismo de Gigabyte y comprometer al fabricante de la placa base para explotar su acceso oculto en un ataque a la cadena de suministro de software. Pero Eclypsium tambi\u00e9n descubri\u00f3 que el mecanismo de actualizaci\u00f3n se implement\u00f3 con vulnerabilidades evidentes que podr\u00edan permitir que fuera secuestrado: descarga el c\u00f3digo en la m\u00e1quina del usuario sin autenticarlo correctamente, a veces incluso a trav\u00e9s de una conexi\u00f3n HTTP desprotegida, en lugar de HTTPS. Esto permitir\u00eda que la fuente de la instalaci\u00f3n sea suplantada por un ataque man-in-the-middle llevado a cabo por cualquier persona que pueda interceptar la conexi\u00f3n a Internet del usuario, como una red Wi-Fi no autorizada.<\/p>\n<\/div>\n