\n<\/p>\n
El jueves pasado, el CEO de HP, Enrique Lores, abord\u00f3 la controvertida pr\u00e1ctica de la compa\u00f1\u00eda de bloquear impresoras cuando los usuarios las cargan con tinta de terceros. En declaraciones a CNBC Television, dijo: \u00abHemos visto que se pueden incrustar virus en los cartuchos. A trav\u00e9s del cartucho, [the virus can] ir a la impresora, [and then] desde la impresora, vaya a la red.\u00bb<\/p>\n
Ese escenario aterrador podr\u00eda ayudar a explicar por qu\u00e9 HP, que fue golpeada este mes con otra demanda por su sistema Dynamic Security, insiste en implementarlo en las impresoras.<\/p>\n
Para investigar, recurr\u00ed al editor senior de seguridad de Ars Technica, Dan Goodin. Me dijo que no conoc\u00eda ning\u00fan ataque utilizado activamente en la naturaleza que fuera capaz de utilizar un cartucho para infectar una impresora.<\/p>\n
Goodin tambi\u00e9n le hizo la pregunta a Mastodon, y los profesionales de la ciberseguridad, muchos de ellos con experiencia en pirater\u00eda de dispositivos integrados, se mostraron decididamente esc\u00e9pticos.<\/p>\n
La evidencia de HP<\/p>\n
Como era de esperar, la afirmaci\u00f3n de Lores proviene de una investigaci\u00f3n respaldada por HP. El programa de recompensas por errores de la compa\u00f1\u00eda encarg\u00f3 a los investigadores de Bugcrowd determinar si es posible utilizar un cartucho de tinta como una amenaza cibern\u00e9tica. HP argument\u00f3 que los chips microcontroladores de los cartuchos de tinta, que se utilizan para comunicarse con la impresora, podr\u00edan ser una puerta de entrada para los ataques.<\/p>\n
Como se detalla en un art\u00edculo de 2022 de la firma de investigaci\u00f3n Actionable Intelligence, un investigador del programa encontr\u00f3 una manera de piratear una impresora mediante un cartucho de tinta de terceros. Seg\u00fan los informes, el investigador no pudo realizar el mismo truco con un cartucho HP.<\/p>\n
Shivaun Albright, tecn\u00f3logo jefe de seguridad de impresi\u00f3n de HP, dijo en ese momento:<\/p>\n
\n\nUn investigador encontr\u00f3 una vulnerabilidad en la interfaz serie entre el cartucho y la impresora. B\u00e1sicamente, encontraron un desbordamiento del b\u00fafer. Ah\u00ed es donde tienes una interfaz que quiz\u00e1s no hayas probado o validado lo suficientemente bien, y el hacker pudo desbordar la memoria m\u00e1s all\u00e1 de los l\u00edmites de ese b\u00fafer en particular. Y eso les da la posibilidad de inyectar c\u00f3digo en el dispositivo.<\/p>\n<\/div>\n<\/blockquote>\n
Albright a\u00f1adi\u00f3 que el malware \u201cpermaneci\u00f3 en la memoria de la impresora\u201d despu\u00e9s de retirar el cartucho.<\/p>\n
HP reconoce que no hay evidencia de que tal pirateo haya ocurrido en la naturaleza. A\u00fan as\u00ed, debido a que los chips utilizados en cartuchos de tinta de terceros son reprogramables (su \u00abc\u00f3digo se puede modificar mediante una herramienta de reinicio directamente en el campo\u00bb, seg\u00fan Actionable Intelligence), son menos seguros, dice la compa\u00f1\u00eda. Se dice que los chips son programables para que a\u00fan puedan funcionar en impresoras despu\u00e9s de las actualizaciones de firmware.<\/p>\n
HP tambi\u00e9n cuestiona la seguridad de las cadenas de suministro de las empresas de tintas de terceros, especialmente en comparaci\u00f3n con la seguridad de su propia cadena de suministro, que cuenta con la certificaci\u00f3n ISO\/IEC.<\/p>\n
As\u00ed que HP encontr\u00f3 una forma te\u00f3rica de piratear los cartuchos, y es razonable que la empresa emita una recompensa por errores para identificar dicho riesgo. Pero se anunci\u00f3 su soluci\u00f3n para esta amenaza. antes<\/em> demostr\u00f3 que podr\u00eda haber una amenaza. HP agreg\u00f3 capacitaci\u00f3n en seguridad de cartuchos de tinta a su programa de recompensas por errores en 2020, y la investigaci\u00f3n anterior se public\u00f3 en 2022. HP comenz\u00f3 a utilizar Dynamic Security en 2016, aparentemente para resolver el problema que intent\u00f3 demostrar que exist\u00eda a\u00f1os despu\u00e9s.<\/p>\n<\/div>\n