China podría haber espiado centros de datos clave de Estados Unidos

La información publicada por Bloomberg BusinessWeek indica que el gobierno chino habría diseñado un plan para infiltrarse en los servidores de algunos de los mayores operadores de centros de datos que dan servicio en Estados Unidos, en una operación que habría sido revelada en 2015. La violación de seguridad consistiría en la instalación de un chip espía en determinadas placas base suministradas con los servidores de la compañía americana Supermicro. Estos se habrían instalado en numerosos datacenter destinados a dar servicio a departamentos clave de la administración estadounidense, desde defensa a inteligencia, y a multitud de empresas del país. Supermicro ensambla sus equipos fuera de China, en instalaciones controladas, pero la fabricación de sus placas base se lleva a cabo enteramente en fábricas del país asiático. Aunque estos componentes pasan una serie de test y revisiones, la información publicada apunta a que los chips maliciosos se habrían instalado en algún paso de la cadena de suministro. Los principales proveedores afectados, Amazon y Apple, al igual que el Ministerio de Relaciones Exteriores de China, han negado la veracidad de esta información. Pero la existencia de esta grave violación de seguridad ha sido confirmada por seis actuales y anteriores funcionarios de Seguridad Nacional, por dos empleados de AWS y tres trabajadores de Apple, según ha informado Bloomberg.

Todo habría comenzado tras la compra de la empresa Elemental Technologies por parte de Supermicro, una de las principales compañías de servidores y hardware para centros de datos del mundo. Esta startup se dedicaba a la compresión y el formateo de archivos de vídeo de gran tamaño para determinados dispositivos, y suponía una adquisición estratégica para Supermicro. Esta perseguía ganar un nuevo contrato de suministro con compañías como Amazon, que quería ampliar el despliegue de sus servicios de transmisión de vídeo, tanto para el gran público como para los sistemas de videoconferencia del gobierno y de las empresas. En 2015, Amazon envió los servidores de Elemental a una empresa externa de seguridad para revisarlos, quien indicó que existía una anomalía en las placas base de Supermicro: un chip que no aparecía en los diseños originales proporcionados a las fábricas. Amazon informó de esto al gobierno y a la Inteligencia de Estados Unidos, cuando estas máquinas ya formaban parte de los centros de datos destinados a dar servicio al Departamento de Defensa. Y ya entonces estos datacenter se estaban utilizando, entre otras muchas cosas, para las operaciones de aviones no tripulados de la CIA y para gestionar las redes de datos de la flota de la Armada.

Según ha informado Bloomberg, estos diminutos chips estaban conectados al controlador de administración de la placa base, y permitían a los servidores comunicarse con equipos externos y aceptar código entrante. Desde que se conoció esta grave infiltración se habría llevado a cabo una investigación secreta que, según este medio de comunicación, habría revelado que las autoridades chinas habrían comprometido cuatro fábricas subcontratadas por Supermicro en el país asiático, amenazando o sobornando a los gerentes para que alterasen los diseños originales. Las pruebas realizadas con estas máquinas indican que casi 30 compañías tendrían parcialmente comprometida su seguridad. Según se ha conocido, Apple retiró inmediatamente estos servidores hackeados de sus centros de datos para eliminar el fallo de seguridad y dio por terminado su contrato con Supermicro. Por su parte, Amazon afirmó no haber detectado máquinas comprometidas en sus centros de datos americanos, pero sus instalaciones de AWS en China sí están equipadas con multitud de servidores comprometidos. De hecho, en algunas máquinas se habrían detectado chips maliciosos muy delgados, incrustados en la placa base y entre determinados componentes. Para acabar con el problema, la compañía monitorizó las comunicaciones de estos servidores durante un tiempo y, aprovechando la nueva ley china que imponía limitaciones a las empresas extranjeras en cuanto a la posesión de centros de datos en el país, transfirió el control de estas instalaciones a un socio local. Finalmente, vendió toda la infraestructura a esta empresa.

A pesar de las fuentes internas que apoyan el artículo de Bloomberg, las empresas implicadas ponen en duda oficialmente la veracidad de este informe, y se desconoce el alcance de las consecuencias que este fallo de seguridad habría tenido para sus operaciones en Estados Unidos y sus contratos con la administración. Quien sí ha recibido un gran golpe ha sido la empresa Sumermicro, que ha sufrido una bajada del 40% en el precio de sus acciones. A finales de la semana pasada, tras salir a la luz el artículo de Bloomberg, la compañía desmintió estas acusaciones diciendo: “En un artículo de hoy, se afirma que las placas madre Supermicro vendidas a ciertos clientes contenían chips maliciosos en sus placas madre en 2015. Supermicro nunca ha encontrado chips maliciosos, y ningún cliente le ha informado que se han encontrado dichos chips”. Por su parte, Steve Schmidt, Director de Seguridad de la Información de AWS, dijo: “Como compartimos con Bloomberg BusinessWeek varias veces durante los últimos dos meses, en ningún momento, pasado o presente, hemos encontrado algún problema relacionado con el hardware modificado o los chips maliciosos en las placas madre Supermicro en cualquier sistema Elemental o Amazon”. Apple también ha lanzado su propio comunicado para desmentir estas acusaciones, diciendo: “Estamos profundamente decepcionados de que, en sus relaciones con nosotros, los reporteros de Bloomberg no hayan estado abiertos a la posibilidad de que ellos o sus fuentes puedan estar equivocados o mal informados. Nuestra mejor estimación es que están confundiendo su historia con un incidente reportado en 2016, en el que descubrimos un controlador infectado en un solo servidor Supermicro en uno de nuestros laboratorios. Se determinó que ese suceso único fue accidental y no un ataque dirigido contra Apple”.