En los últimos años, la seguridad informática no solo ha estado marcada por las vulnerabilidades de software, sino que el hardware también se ha posicionado como objetivo de ataques avanzados. Uno de los casos más recientes e inquietantes es la aparición del método “Phoenix”, una técnica capaz de saltarse las últimas mitigaciones implementadas frente a los ataques Rowhammer en memorias DDR5 de SK Hynix, el mayor fabricante mundial de módulos RAM.

¿Qué es Rowhammer y por qué las DDR5 están en riesgo?

Rowhammer es una clase de ataque a nivel de memoria RAM que consiste en manipular eléctricamente las celdas de memoria mediante accesos repetidos (“martilleos”) a ciertas filas. Esto puede causar cambios de bit en celdas adyacentes, abriendo puertas a la escalada de privilegios y robo de datos, incluso si el sistema operativo es seguro.

Con la llegada del estándar DDR5, la industria adoptó nuevas mitigaciones y el comité JEDEC publicó la especificación JESD79-5C, eliminando funciones como PASR (Partial Array Self Refresh) que, hasta entonces, habían causado vulnerabilidades en generaciones previas. Sin embargo, las últimas investigaciones han revelado que estos parches no han sido suficientes ante los métodos innovadores de los ciberatacantes.

Phoenix: El exploit que burla las mitigaciones modernas

El equipo investigador que ha descubierto Phoenix realizó una profunda ingeniería inversa sobre la memoria DDR5 de SK Hynix, encontrando patrones que las técnicas tradicionales de mitigación no consiguen cubrir completamente. Phoenix consiste en una metodología que sincroniza ataques Rowhammer con una precisión inédita, identificando huecos entre los ciclos de refresco de memoria donde lanzar el ataque y adaptándose dinámicamente a las defensas del sistema.

En un experimento con 15 módulos DDR5 de SK Hynix, los investigadores lograron comprometer todos ellos. El ataque demostró que, tras apenas 109 segundos, es posible alcanzar una escalada de privilegios en un equipo moderno, sorteando los controles implementados por defecto.

¿Afecta a otros fabricantes y versiones de RAM?

Si bien el análisis se focalizó en SK Hynix, los expertos consideran que memorias DDR5 de otros vendedores no están exentas de riesgos, dado que comparten mecanismos similares de gestión de refresco y mitigación Rowhammer. Además, las técnicas de sincronización autocorrectora podrían aplicarse a ciertas variantes de DDR4, según hipótesis del propio equipo de investigación.

¿Hay parches o actualizaciones disponibles?

El hallazgo fue comunicado de forma responsable a fabricantes y plataformas en junio de 2025 a través del Centro Nacional de Ciberseguridad Suizo (NCSC). Como resultado, AMD ya ha lanzado un parche de BIOS para proteger sistemas afectados, por lo que se recomienda a todos los usuarios y empresas mantener sus equipos actualizados, aplicar los últimos firmware y revisar periódicamente los comunicados de seguridad de los fabricantes de placas base y servidores.

Medidas preventivas y recomendaciones

• Actualiza siempre BIOS y firmware de memorias y placas base.
• Prioriza módulos RAM con protección ECC (si es viable en tu entorno).
• Monitoriza comunicados de seguridad de SK Hynix y del comité JEDEC.
• Para entornos críticos, evalúa capas adicionales de aislamiento de procesos y virtualización segura.

Enlaces y recursos adicionales

• Investigación original Phoenix (ETH Zurich): enlace oficial
• Detalles técnicos sobre JESD79-5C y DDR5: JEDEC JESD79-5C
• Alertas y respuestas de SK Hynix: SK Hynix Official
• Artículo relacionado sobre Rowhammer: Project Zero de Google
• Notas sobre mitigaciones en chips AMD/Intel: consultar portales oficiales de cada fabricante.