Hoy temprano, 4 de octubre, Bloomberg Businessweek publicó una larga historia sobre la aparente piratería que tuvo lugar contra algunas de las compañías más grandes de los Estados Unidos a manos de China, incluidas Apple y Amazon. El fabricante de iPhone ahora se ha registrado para descontar mucho de lo que dice la historia.
Lo que dijo Businessweek
Businessweek afirma que los espías chinos comprometieron la cadena de suministro de tecnología de Estados Unidos en los últimos años al infiltrarse en compañías que suministraban piezas a Supermicro. La compañía con sede en San José es uno de los mayores proveedores mundiales de placas base de servidor. Afirma que los investigadores han concluido que el "intrincado esquema" fue el trabajo de una unidad del Ejército Popular de Liberación que se especializa en ataques de hardware.
Según el informe, China pudo unir pequeños microchips del tamaño de un grano de arroz a muchas de estas partes. A partir de ahí, se dirigieron a las placas base del servidor de Supermicro y, finalmente, a empresas como Apple. Una vez que se encendieron los servidores, los microchips se diseñaron para alterar el sistema operativo de la máquina para que pudiera aceptar modificaciones de código.
Businessweek afirma que Apple, Amazon y otros informaron a las autoridades estadounidenses sobre esto cuando se descubrieron los microchips y posteriormente retiraron las máquinas afectadas.
Además, Businessweek dijo que no encontró evidencia directa de que los datos de la compañía o el usuario fueran robados a ninguno de los afectados..
La respuesta de Apple
Apple dice que Businessweek es incorrecto con sus informes y señala que Bloomberg se contactó con la compañía "varias veces con reclamos, a veces vagos y a veces elaborados, de un supuesto incidente de seguridad". La compañía realizó "investigaciones internas rigurosas basadas en sus consultas". Apple "no encontró absolutamente ninguna evidencia que respalde ninguno de ellos". Además, "Hemos ofrecido repetidas y consistentemente respuestas fácticas, en el registro, refutando prácticamente todos los aspectos de la historia de Bloomberg relacionados con Apple".
También señaló: “Como práctica, antes de que los servidores se pongan en producción en Apple, se inspeccionan las vulnerabilidades de seguridad y actualizamos todo el firmware y el software con las últimas protecciones. No descubrimos ninguna vulnerabilidad inusual en los servidores que compramos de Super Micro cuando actualizamos el firmware y el software de acuerdo con nuestros procedimientos estándar ".
Además, sugiere que Businessweek está confundiendo su historia con un incidente de 2016 en el que Apple descubrió un controlador infectado en un solo servidor Supermicro en uno de los laboratorios de la compañía..
"Se determinó que ese evento único fue accidental y no un ataque dirigido contra Apple", explica el fabricante del iPhone.
Apple no es el único que cuestiona los informes de Businessweek.
Amazon dijo que no tenía conocimiento de ningún "compromiso de la cadena de suministro, un problema con chips maliciosos o modificaciones de hardware".
Supermicro es igualmente franco y señala: “Si bien cooperaríamos con cualquier investigación gubernamental, no tenemos conocimiento de ninguna investigación sobre este tema ni ninguna agencia gubernamental nos ha contactado a este respecto. No tenemos conocimiento de que ningún cliente abandone Supermicro como proveedor para este tipo de problema ".
Incluso el gobierno chino ha ofrecido una declaración con el Ministerio de Relaciones Exteriores del país comunista que dice:
China es un firme defensor de la ciberseguridad. Aboga por que la comunidad internacional trabaje conjuntamente para abordar las amenazas de seguridad cibernética a través del diálogo sobre la base del respeto mutuo, la igualdad y el beneficio mutuo.
Que qué?
No voy a cuestionar a Apple, Businessweek ni a nadie sobre este tema. Podría ser que Businessweek esté completamente equivocado, o tal vez la historia sea correcta, pero debido a problemas de seguridad, Apple y las otras compañías involucradas no pueden confirmar legalmente que los eventos ocurrieron..
¿Qué piensas? Háganos saber a continuación.
