Los procesadores de AMD han vuelto a la palestra en el ámbito de la ciberseguridad tras la revelación de una nueva vulnerabilidad crítica, denominada Heracles, descubierta por un grupo de investigadores de ETH Zúrich. Esta vulnerabilidad afecta a la tecnología de virtualización segura SEV-SNP presente en CPUs EPYC, ampliamente utilizadas en centros de datos y nubes públicas.
Heracles representa una amenaza significativa para las máquinas virtuales confidenciales (CVM), fundamentales para la seguridad en la nube. Estas VMs prometen proteger el contenido de la memoria de los invitados incluso del hipervisor, que tiene control total sobre la infraestructura. Sin embargo, el descubrimiento sugiere que esta protección podría no ser absoluta.
La tecnología SEV-SNP, desarrollada por AMD, emplea cifrado AES en modo XEX para proteger la memoria de las máquinas virtuales, haciendo que los datos sean inaccesibles incluso para administradores de sistemas o proveedores de nube. Heracles rompe esta promesa al combinar tres factores críticos: la capacidad del hipervisor para leer memoria cifrada, la reubicación de páginas de memoria y el uso de valores «tweak» estáticos durante el recifrado. Esto podría permitir a un atacante inferir datos sensibles, como contraseñas o claves criptográficas.
El impacto de Heracles es especialmente grave en entornos que alquilan máquinas virtuales con hardware AMD EPYC, ya que un atacante podría filtrar datos aprovechando esta debilidad en el recifrado de páginas de memoria.
AMD, informado de esta vulnerabilidad en enero de 2025, ha reconocido el riesgo y propuesto mitigaciones, aunque no una solución definitiva. Entre las medidas destacan la ocultación de texto cifrado y una nueva política PAGE_SWAP_DISABLE. Sin embargo, estas soluciones implican una penalización en el rendimiento, forzando a AMD a escoger entre seguridad y eficiencia.
El incidente de Heracles no es un caso aislado. AMD y su rival Intel han enfrentado diversas vulnerabilidades críticas en la última década, desafiando la confianza en la seguridad del hardware. Este nuevo hallazgo se suma a fallos previos y pone en evidencia que ningún fabricante está completamente a salvo.
Con el confidential computing como estándar emergente para sectores sensibles, Heracles plantea dudas sobre la privacidad de los datos en la nube. Aunque su explotación requiere privilegios de hipervisor, lo que reduce el riesgo para usuarios finales, la posibilidad de que un proveedor de nube comprometido acceda a datos supuestamente seguros es alarmante.
Este escenario subraya que ningún sistema es invulnerable y que la seguridad y privacidad en la nube dependen tanto de la criptografía como de la correcta implementación del hardware. AMD enfrenta el desafío de equilibrar rendimiento y seguridad en futuras generaciones mientras las empresas deben decidir si aplican las mitigaciones disponibles a expensas de la eficiencia operativa.
Más información y referencias en Noticias Cloud.
