R+D CSIC

Spirs: seguridad basada en hardware y asequible para dispositivos IoT y electrónicos

El proyecto europeo Spirs está desarrollando soluciones basadas en hardware que aumenten la seguridad contra ciberataques, que sean asequibles para pequeñas y medianas empresas, y que puedan incorporarlas en sus dispositivos sin necesidad de un incremento excesivo del precio final. Se busca dotar de soluciones de alta seguridad incluso a sistemas de recursos limitados, como los dispositivos que forman el ecosistema IoT (Internet de las Cosas), que suelen ser portátiles (wearables) y presentas fuertes restricciones en tamaño y peso. 

En agosto de 2022, los sistemas informáticos del Centro Hospitalario del Sur Francilien (Francia) fueron cibersecuestrados, lo que impedía el normal funcionamiento de los servicios y comprometió la confidencialidad de los datos de centenares de pacientes. Otro tanto pasó en 2023, en el Hospital Clínico de Barcelona, víctima de un ciberataque, en la Universidad Autónoma de Barcelona, en 2021; y en la empresa Yahoo, que sufrió un ciberataque en 2013. Todos estos casos, que no son los únicos ni los últimos, demuestran la vulnerabilidad de los sistemas informáticos y de los datos de los ciudadanos.

La seguridad de muchos de los sistemas informáticos de uso común se basa exclusivamente en soluciones software, como los antivirus, pero esta barrera puede romperse mediante el denominado software malicioso (malware), que normalmente se inyecta al sistema de manera remota. “Es mucho más fiable la seguridad integrada en el hardware, porque para romperla se necesita un ataque físico, manipular directamente sobre los chips que forman parte del dispositivo. No se puede atacar a distancia”, explica Piedad Brox, investigadora del CSIC en el Instituto de Microelectrónica de Sevilla (IMSE). “Pero la seguridad basada en el hardware puede ser extremadamente costosa e inasequible para las pequeñas y medianas empresas, y encarecer el precio final de sus dispositivos haciendo que no sean competitivos en el mercado”, añade.

Con esa idea se lanzó el proyecto europeo Spirs (Secure Platform For ICT Systems Rooted at the Silicon Manufacturing Process), financiado por la Comisión Europea con 5 millones de euros, que busca desarrollar soluciones de seguridad basadas en el hardware y que sean asequibles. Cuenta con la participación de 9 socios, entre centros de investigación, universidades y empresas, que colaboran para desarrollar una plataforma sobre la que diseñan diferentes soluciones de seguridad en dos contextos de aplicación Industria 4.0 e infraestructuras 5G.

Esa plataforma, aclara Piedad Brox, coordinadora del proyecto, es “un prototipo que valida todos los componentes y herramientas diseñadas en el proyecto, ofreciendo una solución completa que usa el hardware como piedra angular sobre la que se construye toda la seguridad”.

El proyecto, siguiendo los principios de ciencia en abierto, proporcionará demostradores de la plataforma que evidencian su utilidad. Las empresas que deseen incorporar este tipo de soluciones a sus productos podrán reutilizar ese material como base y adaptarlo a sus necesidades específicas para ofrecer productos más seguros. Por su parte, las empresas que no tengan capacidades para realizar estas adaptaciones podrán establecer convenios de colaboración con los investigadores del CSIC, quienes les proporcionaran el apoyo necesario.

La plataforma Spirs también es capaz de detectar si hay cambios físicos como cambios bruscos de temperatura o en la tensión de alimentación, porque pueden ser indicios de manipulación y posible ataque

Asimismo, la plataforma Spirs es capaz de detectar si hay cambios físicos que puedan alertar ante eventuales amenazas, como cambios bruscos de temperatura o en la tensión de alimentación, porque pueden ser indicios de manipulación y de un posible ataque.

Un nanochip para proteger de los ciberataques

El resultado más reciente es un chip de dimensiones nanométricas, que integra un conjunto de primitivas criptográficas con distintas funcionalidades: generador de identidades digitales, números aleatorios, funciones hash, cifradores y aceleradores de firma digital. La solución es modular, lo que significa que se pueden utilizar una o varias primitivas, proporcionando un nivel de seguridad más elevado a medida que se incorpora un mayor número de ellas.  La combinación de estas primitivas se denomina “Root of Trust” (RoT), o raíz de confianza, ya que el sistema lo usa como base para construir todo el conjunto de servicios de seguridad digital frente a ciberataques.

 “Este nanochip permite, entre otras funcionalidades, generar una identidad digital única del dispositivo que puede usarse para generar claves criptográficas efímeras de alto nivel de seguridad, así como generar números aleatorios que cumplen los criterios de calidad fijados por el organismo internacional de estandarización NIST”, añade Brox.

Este primer chip es un prototipo. En el futuro, en función del dispositivo que se quiera proteger, se incorporarán más o menos componentes en la RoT del chip, de forma que se pueda ofrecer un buen balance entre nivel de seguridad y coste de la implementación final.

Identidades digitales imposibles de suplantar

Una de las primitivas criptográficas que incorpora el chip es una “función física no clonable”, capaz de dotar al dispositivo de una identidad digital única, ya que es inherente al hardware subyacente. Y es que “durante el proceso de fabricación de los chips”, aclara Piedad Brox, “siempre hay factores que causan minúsculas diferencias entre los microchips derivados del mismo diseño”. Una minúscula irregularidad en la superficie del chip o una levísima desviación de la luz durante el proceso litográfico en su fabricación hacen que ningún chip sea totalmente idéntico a otro, incluso si se han fabricado en la misma oblea de silicio. “Es como las huellas dactilares que permiten distinguir a dos hermanos gemelos con el mismo mapa genético”, ilustra Piedad Brox.

“La función física no clonable hace que cada chip responda de forma diferente a un estímulo, lo que permite identificar el chip de forma inequívoca”. Es una identidad robusta en el dominio digital que, además, añade Brox, no se puede clonar y es muy complicado robarla, porque no está almacenada en memoria sino que se genera a demanda cada que vez que es necesario. “Ni siquiera nosotros, los diseñadores del chip, la conocemos; no sabemos anticipar su valor porque depende de una variabilidad intrínseca al proceso de fabricación que no se puede predecir”, afirma la investigadora.

Some of the women of @SPIRSProject are presenting an important foward step in the project: secure and measured boot pic.twitter.com/ZhdnDj6Gru

— SPIRS Project (@SPIRSProject) February 19, 2024

Conseguir seguridad y soberanía digital en Europa

El proyecto Spirs, que se reunió hace unos días en Barcelona, contribuye a impulsar la soberanía digital de Europa al garantizar que todas las soluciones son desarrolladas para microprocesadores RISC-V, basados en una arquitectura del conjunto de instrucciones (ISA) libre. Esto evita los costes de licencia (regalías) a empresas externas como ARM e Intel. En España, el Gobierno ha puesto en marcha el Perte Chip de microelectrónica y semiconductores para reforzar las capacidades de diseño y producción de la industria de la microelectrónica y los semiconductores.

El diseño y fabricación del primer chip en Spirs pone de manifiesto la capacidad del equipo liderado por la investigadora Piedad Brox en el ámbito de la seguridad digital hardware. “Se trata de un sector que es clave para garantizar la construcción de una sociedad digital segura, de confianza y sin incidencias, que proteja los servicios públicos y privados en la Unión Europea”, afirma la investigadora del CSIC.

El consorcio de Spirs está formado por: Instituto de Microelectrónica de Sevilla IMSE-CSIC (España), Instituto de Tecnologías Físicas y de la Información ITEFI-CSIC (España), Tampere University (Finlandia); Telefónica (España); Politecnico di Torino (Italia); LINKS Foundation (Italia); Commissariat à l’Energie Atomique et aux Energies Alternatives - CEAA (Francia); Thales DIS (Alemania); NEC (Alemania); y Next SRL (Italia).

 Mercè Fernández / Comunicación CSIC en Cataluña

• Anterior
• Siguiente