Investigadores de la KU Leuven y la Universidad de Birmingham han presentado Battering RAM, una técnica de ataque físico que permite neutralizar garantías clave de confidential computing en Intel SGX y AMD SEV‑SNP, ampliamente usados en entornos cloud. Aunque requiere acceso físico al servidor, el hallazgo expone límites estructurales del cifrado de memoria actual y reaviva la preocupación por amenazas internas y riesgos en la cadena de suministro de hardware.
Qué es Battering RAM y su relevancia para la nube
Battering RAM da continuidad a trabajos previos del mismo equipo, que ya había demostrado BadRAM contra AMD SEV‑SNP con equipamiento de bajo coste. En esta ocasión el objetivo es la aislación de datos y código dentro de enclaves SGX y máquinas virtuales protegidas SEV‑SNP, pilares del confidential computing diseñado para que ni siquiera un administrador del host pueda inspeccionar la memoria sensible.
Cómo funciona: manipulación de la línea DRAM con un interposer
El ataque se materializa mediante un interposer furtivo en el bus de memoria, instalado en el módulo DIMM entre CPU y DRAM. Este dispositivo, que según los autores puede construirse con presupuesto reducido, no genera alertas en el sistema operativo ni en el hipervisor. Una vez activo, redirige silenciosamente accesos a direcciones protegidas hacia regiones controladas por el atacante, eludiendo el cifrado y ciertas verificaciones de integridad en fases de carga. El prototipo se centra en DDR4, pero el enfoque es escalable a DDR5.
Impacto técnico: lectura en claro y ruptura de la attestation
Los investigadores sostienen que la técnica permite acceso arbitrario a datos en claro alojados en memoria protegida por SGX y comprometer la attestation de SEV‑SNP incluso en sistemas completamente actualizados. Este resultado es consistente con literatura académica que documenta la fragilidad de perímetros físicos frente a ataques a la memoria (por ejemplo, Foreshadow/L1TF y RAMBleed), y subraya que la seguridad criptográfica no cubre manipulación activa en la línea DIMM.
Superficie de amenaza: quién está en riesgo y por qué los parches no bastan
La explotación exige acceso físico, tradicionalmente fuera del modelo de amenazas de las CPU. Sin embargo, en la práctica entran en juego insiders de proveedores cloud, técnicos de centros de datos, actores con capacidad de incautación y eslabones de la cadena de suministro de módulos de memoria. El ataque opera por debajo del sistema operativo y del hipervisor, de modo que parches de software y actualizaciones de firmware no lo corrigen al producirse la intrusión directamente en el bus de memoria.
Respuesta de fabricantes y defensas disponibles
Intel y AMD fueron notificadas en febrero de 2025 y publicaron comunicados coincidiendo con la divulgación. Ambas recalcan que los ataques físicos exceden el modelo de amenaza estándar de SGX y SEV‑SNP. Intel destaca como mitigación su Total Memory Encryption – Multi‑Key (TME‑MK) en determinados Xeon, que cifra la memoria a nivel de plataforma con múltiples claves para segmentar dominios y reducir el impacto de intercepciones, y recomienda reforzar la seguridad física de la infraestructura.
Recomendaciones prácticas para proveedores cloud, CISO y operadores de CPD
Priorizar controles físicos: segmentación de zonas, control de accesos por mínimos privilegios, escolta a visitantes, videovigilancia, registro de intervención en racks y auditorías independientes (alineadas con NIST SP 800‑53 e ISO/IEC 27001). Desplegar cerraduras de bastidor, sensores de intrusión de chasis, precintos inviolables en DIMM y procesos de verificación de hardware a la recepción.
Endurecer la arquitectura: habilitar cifrado de memoria de plataforma (p. ej., TME‑MK donde esté soportado), minimizar sustituciones en caliente, incorporar measured boot y attestation remota para el resto de la cadena de confianza, y exigir SLA que definan la responsabilidad sobre seguridad física. Evaluar soluciones con in-line encryption en la línea DIMM cuando sean compatibles con la carga de trabajo.
Battering RAM recuerda que el confidential computing solo es tan sólido como su perímetro físico y su cadena de suministro. Es momento de revisar modelos de amenaza, actualizar procedimientos de acceso en centros de datos, valorar el despliegue de TME‑MK u opciones equivalentes y mantener una vigilancia continua de las guías de Intel y AMD. Adoptar estas medidas permitirá preservar los beneficios del cifrado de memoria sin obviar las vulnerabilidades que operan por debajo del software.
