Un nuevo vector de ataque que los investigadores de la Universidad de Toronto han bautizado como GPUBreach demuestra que las vulnerabilidades tipo Rowhammer, tradicionalmente asociadas a memorias DRAM de CPU, también pueden explotarse con GDDR6 en tarjetas gráficas para conseguir escalada de privilegios y, en última instancia, una toma completa del sistema.
La clave técnica de GPUBreach es inducir volteos de bit (bit-flips) en la memoria GDDR6 de la GPU de forma controlada. Esos errores no solo corrompen bloques de datos: los investigadores lograron afectar las estructuras de gestión de memoria de la propia GPU, en concreto las entradas de las tablas de páginas (PTEs). Al dañar PTEs se consigue que un kernel CUDA sin privilegios obtenga lectura y escritura arbitrarias sobre la memoria de la GPU, una capacidad que puede encadenarse con fallos en el controlador del sistema para llevar la explotación del lado de la GPU al espacio del CPU y obtener privilegios de root.
Para entender la gravedad conviene recordar qué es Rowhammer: es un efecto físico en memorias DRAM que permite, mediante accesos repetidos y cuidadosamente dirigidos a filas adyacentes, forzar que bits se inviertan en celdas vecinas. GPUBreach aplica este principio a chips GDDR6 usados por muchas GPU modernas y muestra que el resultado puede escapar del ámbito de mera corrupción de datos y convertirse en una vía de escalada de privilegios.
Que la exploitación llegue a corromper las tablas de páginas de la GPU es lo que hace el salto especialmente peligroso: las PTEs definen qué páginas de memoria existen y con qué permisos; si un proceso malicioso reescribe esas entradas puede redirigir accesos, mapear regiones ajenas o mutear protecciones, y con ello leer y modificar memoria tanto de la GPU como, potencialmente, forzar condiciones aprovechables por el controlador del sistema.
El equipo de la Universidad de Toronto presentó su trabajo en la web del proyecto GPUBreach y publicará el artículo técnico completo el 13 de abril en el congreso IEEE Symposium on Security & Privacy; la versión preliminar técnica ya está disponible en su documento y el código de reproducción se depositó en GitHub en sith-lab/gpubreach.
En sus experimentos los investigadores utilizaron una NVIDIA RTX A6000 con GDDR6, una GPU frecuente en entornos de desarrollo y entrenamiento de modelos de IA. Esto coloca el problema en un lugar crítico: infraestructuras y estaciones de trabajo que ejecutan cargas de aprendizaje automático suelen exponer APIs y entornos donde se pueden cargar kernels y tareas por usuarios que no siempre están completamente aislados.
Una defensa obvia contra flips de bit son las memorias ECC: corrigen errores de un bit y detectan muchos dobles flips. Pero la protección que ofrece ECC no es infalible frente a errores múltiples ni es estándar en GPUs de consumo. Los autores señalan además que el uso de la protección IOMMU —el hardware que gestiona y restringe el acceso directo a memoria por dispositivos (DMA), pensado para evitar que un dispositivo acceda libremente a regiones arbitrarias de RAM— no impide GPUBreach cuando la GPU es capaz de corromper el estado del controlador de confianza. Para una introducción al concepto de IOMMU puede consultarse la documentación de Intel sobre VT-d: qué es VT-d.
Los autores reportaron sus hallazgos a los proveedores afectados (NVIDIA, Google, AWS y Microsoft) y algunas de esas compañías ya han respondido. Google reconoció el informe y concedió una recompensa; NVIDIA indicó que puede ampliar su aviso de seguridad previo de julio de 2025 para reflejar nuevas vías de ataque relacionadas con GDDR6. El aviso previo de NVIDIA puede consultarse en su página de soporte. Es importante seguir de cerca los avisos oficiales de los fabricantes para aplicar parches y mitigaciones tan pronto estén disponibles.
Desde el punto de vista práctico, GPUBreach trasciende la mera demostración teórica: no solo muestra que se pueden inducir bit-flips en GDDR6 de forma reproducible, sino que esas corrupciones pueden ser aprovechadas para alterar estructuras críticas y elevar privilegios sin la necesidad de desactivar protecciones como la IOMMU, algo que marcaba la diferencia frente a trabajos anteriores sobre Rowhammer en GPUs. Una investigación previa del mismo grupo, conocida como GPUHammer, ya había demostrado la viabilidad de Rowhammer en memorias de GPU; GPUBreach lleva la posta más allá, hacia la escalada completa a nivel de sistema.
¿Qué pueden hacer usuarios y administradores ahora mismo? Primero, minimizar el riesgo evitando ejecutar código no verificado en GPUs que manejen datos sensibles o pertenezcan a entornos compartidos. Segundo, cuando sea posible, optar por hardware con soporte ECC y activar las mitigaciones recomendadas por el fabricante. Tercero, mantener controladores y firmwares actualizados y aplicar configuraciones de seguridad del proveedor para restringir quién puede cargar kernels en los dispositivos GPU. Finalmente, en entornos en la nube, revisar las políticas de aislamiento de GPU ofrecidas por el proveedor y exigir garantías sobre mitigaciones hardware/firmware.
GPUBreach es un recordatorio potente de que la superficie de ataque de la GPU ya no es periférica: las GPUs son ahora componentes críticos y complejos que manejan memoria, realizan virtualización y exponen interfaces que, mal protegidas, ofrecen caminos a compromisos a gran escala. La investigación completa estará disponible en la publicación técnica y el repositorio enlazados arriba, y su presentación en el IEEE S&P permitirá a la comunidad revisarla en detalle y trabajar en contramedidas.
Para quienes quieran profundizar, además de la página del proyecto y el paper, conviene seguir la cobertura técnica especializada y las notas de seguridad de los fabricantes. Mantenerse informado y aplicar una política de menores privilegios y aislamiento en entornos que usan GPU mitigará el riesgo hasta que existan parches y medidas de diseño a nivel de hardware que resuelvan estas nuevas categorías de ataques.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...