Ciberseguridad

Microsoft anuncia los primeros PC que se comercializan con el chip de seguridad Pluton

Además de frustrar el malware, el chip Pluton gestiona BitLocker, Windows Hello y System Guard, y podría ayudar a prevenir ataques físicos desde dentro. La tecnología también se está utilizando en Azure Sphere en la nube.

microsoft

A medida que las organizaciones siguen luchando por la forma de administrar una fuerza laboral híbrida, la seguridad fuera del firewall sigue desempeñando un papel importante en las operaciones diarias de TI.

Tras el lanzamiento en octubre de Windows 11, que incluía funciones destinadas a facilitar el trabajo híbrido, Microsoft anunció la semana pasada los primeros PC con su tecnología de seguridad Pluton chip-to-cloud. Esta tecnología está destinada a proteger los ordenadores de los trabajadores remotos y otros.

En el CES, Microsoft anunció que Lenovo y el fabricante de chips AMD han lanzado los primeros portátiles -el ThinkPad Z13 y el ThankPad Z16- que vienen de forma nativa con los chips de seguridad Pluton. El precio de salida del ThinkPad Z13 es de 1.549 dólares y el del ThinkPad Z16 de 2.099 dólares. Ambos portátiles estarán disponibles en mayo, y Lenovo  ha anunciado que no van a tener ningún coste adicional asociado al chip Pluton que llevan dentro.

Pluton estará desactivado de forma predeterminada en las plataformas ThinkPad de Lenovo (concretamente, los Z13, Z16, T14, T16, T14s, P16s y X13, que utilizan procesadores de la serie 6000 de AMD). Los clientes tendrán la posibilidad de habilitar Pluton ellos mismos, según ha asegurado un portavoz de Lenovo.

Cuando se le preguntó por qué el chip está deshabilitado inicialmente, el portavoz explicó que los clientes empresariales "nos han dicho que prueban y evalúan exhaustivamente cualquier nuevo software o función relacionada con la seguridad que se introduzca en su red, y que pueden optar por habilitar Pluton en sus dispositivos como consideren oportuno". A medida que Pluton se despliegue en el mercado y tengamos tiempo de evaluar la demanda de los clientes para la habilitación en fábrica, revisaremos esta posibilidad".

El procesador Pluton tiene como objetivo ofrecer una mayor protección que el actual Trusted Platform Module (TPM), ya que es un chip de seguridad dedicado que gestiona funciones de seguridad como BitLocker, Windows Hello y System Guard.

Windows 11 vino con una gran cantidad de actualizaciones de seguridad, entre las que destaca la imposibilidad de desactivar características existentes como UEFI, Secure book y el TPM criptográfico. Windows 11 es un sistema operativo preparado para Zero Trust, diseñado para ser seguro desde el chip hasta la nube, con verificaciones de seguridad comprobables integradas y activadas por defecto.

El TPM 2.0 se utiliza para generar y proteger las claves de cifrado, las credenciales de los usuarios y otros datos sensibles, de modo que el malware y los atacantes no puedan acceder a los datos ni manipularlos.

 

Procesador de seguridad

El chip Pluton es un procesador de seguridad diseñado específicamente y desarrollado mediante un esfuerzo conjunto entre Microsoft y los principales fabricantes de silicio, incluidos AMD y Qualcomm. Su objetivo es proteger los PC contra algunos de los ataques de malware más sofisticados, almacenando de forma más segura las credenciales de los usuarios (incluida la información de las huellas dactilares), las identidades, los datos personales y las claves de cifrado. El procesador de seguridad integrado reúne la funcionalidad de TPM 2.0 con la capacidad de actualizar y añadir dinámicamente nuevas funciones de seguridad sin problemas a través de Windows Update, el servicio de Microsoft que instala el software/firmware más reciente en un ordenador.

El "hardware y el software estrechamente integrados" ayudan a proteger contra las vulnerabilidades de seguridad al añadir visibilidad y control adicionales, y son más adaptables a los cambios en el panorama de las amenazas, según Microsoft.

El chip Pluton está integrado en la matriz de la CPU de un dispositivo y, por lo tanto, es más difícil que los atacantes puedan acceder a él. La información sensible almacenada en él no puede ser eliminada -incluso si un atacante ha instalado malware o tiene posesión física del PC-  porque el chip está aislado del resto del sistema. El chip discreto también ayuda a evitar técnicas de ataque emergentes, como la ejecución especulativa (un ataque de canal lateral) que explota el comportamiento y la funcionalidad de la CPU.

Pluton puede actuar como un TPM o proporcionar seguridad adicional a un dispositivo junto con un TPM discreto de terceros, según Matt Wo, portavoz de Microsoft Cybersecurity. "Nuestros socios tienen la opción y la flexibilidad de ofrecer Pluton con o sin un TPM de terceros", nos ha asegurado Wo en una respuesta por correo electrónico a Computerworld. "Cuando Pluton se configura como un TPM, protege las claves de BitLocker utilizadas para ayudar a cifrar y proteger los datos del cliente almacenados en el sistema".

 

Evitar ataques

Patrick Hevesi, vicepresidente analista de Gartner, ha asegurado que el mayor beneficio del chip Pluton es la posible eliminación de los ataques de canal lateral físico contra los canales de comunicación TPM-a-CPU independientes.

Los ataques de canal lateral no se dirigen a los puntos débiles de los sistemas criptográficos en sí mismos, sino que el malware busca fugas de información que puedan indicar algo sobre el funcionamiento del sistema criptográfico. Por ejemplo, los ataques acústicos pueden grabar el sonido de las pulsaciones de las teclas de un usuario para robar su frase de contraseña o la radiación del campo electromagnético (EMF) emitida por la pantalla de un ordenador puede utilizarse para ver la información antes de que se cifre.

Según nos explicado Hevesi , "Dado que el proceso de seguridad de Pluton estará integrado en los chips System on a Chip (SoC), no debería haber forma de llegar al canal sin destruir el chip. Además, según las especificaciones de Microsoft, las claves nunca saldrán del límite de seguridad de Pluton, lo que ayudará a prevenir ataques como la ejecución especulativa y otros tipos de ataques a las claves".

Otra ventaja de la arquitectura Pluton es que Microsoft controlará las actualizaciones del firmware del procesador de seguridad y permitirá las actualizaciones directas desde Windows Update; eso permite a la empresa controlar y asegurar el código del firmware y seguir añadiendo nuevas características de seguridad a medida que se vayan lanzando nuevas versiones de Windows, según ha confirmado Hevesi.

Microsoft también podrá avanzar en las funciones de seguridad de hardware y software, como el arranque seguro, el arranque medido y la seguridad basada en la virtualización, directamente en un único procesador SoC.

"Esto ayudará a prevenir incluso los ataques remotos que intentan cambiar el kernel o el proceso de arranque del sistema operativo. El chip Pluton ayudará a proteger los dispositivos remotos gracias a la integración de funciones de seguridad tanto en la capa física como en el software", afirma Hevesi , y especifica que "esta tecnología también puede aplicarse a los dispositivos en las instalaciones para, posiblemente, evitar los ataques físicos desde dentro y, también, han añadido esta tecnología a Azure Sphere en la nube".

 

No será el 'todo' en seguridad

Pero no todo el mundo cree que el nuevo chip Pluton sea el todo para la seguridad. Michael Suby, vicepresidente de investigación del servicio de investigación de Security and Trust de IDC, dijo que la plataforma SoC es un avance útil que a corto plazo no cambiará radicalmente las decisiones de compra de PC de las empresas.

"Una secuencia potencial de actores de amenazas podría tomar clandestinamente posesión física del portátil del ejecutivo, abrir el dispositivo e infectarlo a nivel de hardware, y luego dejar el dispositivo, aparentemente sin molestar ni al  ejecutivo ni a los posibles equipos de seguridad de TI", explicó Suby.

Los nuevos portátiles de Lenovo están equipados con procesadores AMD Ryzen Serie 6000, que integran el chip de seguridad Pluton en los nuevos equipos con Windows 11. El chip Pluton se basa en la tecnología utilizada durante años en Microsoft Xbox y Microsoft Azure Sphere.

Según  argumenta Wo, "A medida que nos adentramos en esta nueva era de trabajo híbrido, se necesitan soluciones de seguridad modernas que ofrezcan protección de extremo a extremo desde cualquier lugar. Windows 11 fue diseñado para elevar el nivel de seguridad, desde el primer momento, para habilitar protecciones como Windows Hello, Device Encryption, seguridad basada en la virtualización (VBS), integridad de código protegida por hipervisor (HVCI) y Secure Boot, una combinación que ha demostrado reducir el malware en un 60%".

Microsoft ha explicado que muchas de las actualizaciones de Windows 11 y el diseño del chip colaborativo se han inspirado en temas de trabajo híbrido."Está claro que los últimos años han fomentado grandes aprendizajes que nuestros socios han integrado en el diseño de estos dispositivos. Estos aprendizajes —y las nuevas formas de trabajar— también han influido en muchas de las innovaciones en el diseño de Windows 11", explica Nicole Dezen, vicepresidenta de Ventas de Socios de Dispositivos de Microsoft, en esta entrada de blog.

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper