- GPUHammer adapta los ataques Rowhammer a la memoria GDDR6 de GPUs NVIDIA, permitiendo bit flips controlados sin necesidad de privilegios elevados.
- Un solo bit alterado en los pesos de un modelo de IA puede reducir su precisión del 80 % a cifras cercanas al 0,1 %, rompiendo aplicaciones críticas.
- Investigaciones como GDDRHammer y GeForge muestran que Rowhammer en GPU puede escalar hasta control total de la memoria de CPU y privilegios de administrador.
- Las mitigaciones pasan por activar ECC e IOMMU y reforzar la seguridad hardware en entornos en la nube y centros de datos, asumiendo el coste en rendimiento.
La aparición de GPUHammer ha sacudido por completo el mundo de la ciberseguridad y de la inteligencia artificial. No estamos ante un simple fallo de software, sino ante una vulnerabilidad física en el hardware de las GPUs que puede dejar modelos de IA prácticamente inservibles, reduciendo su precisión desde valores cercanos al 80 % hasta un miserable 0,1 %. Para cualquier sistema real —diagnóstico médico, trading algorítmico o conducción autónoma— eso equivale a pasar de fiable a totalmente inútil.
Lo realmente inquietante es que GPUHammer no se limita a generar errores aleatorios sin más. Este ataque se apoya en una familia de técnicas conocida como Rowhammer, capaz de provocar cambios controlados en bits de memoria simplemente «golpeando» filas de DRAM cercanas con accesos muy intensivos. Llevado al terreno de las GPUs modernas, que usan memoria GDDR6 para acelerar la IA, se convierte en una herramienta perfecta para corromper modelos, sabotear servicios en la nube y comprometer sistemas completos sin que salten alarmas evidentes.
Qué es GPUHammer y por qué es tan peligroso para la IA
GPUHammer es una variante de los ataques Rowhammer diseñada específicamente para la memoria de vídeo GDDR6 utilizada por muchas GPUs de NVIDIA. Mientras que los Rowhammer clásicos apuntaban a la DRAM asociada a CPUs (DDR3, DDR4, LPDDR4, etc.), esta nueva técnica traslada el problema directamente a las tarjetas gráficas, que hoy son el corazón del entrenamiento e inferencia de modelos de inteligencia artificial.
El principio es el mismo: accesos repetidos y muy rápidos a determinadas filas de memoria provocan interferencias eléctricas que hacen que bits en filas adyacentes cambien de valor (de 0 a 1 o de 1 a 0). Es lo que se conoce como bit flipping. En vez de necesitar acceso directo a los datos de otro usuario o proceso, el atacante se aprovecha de la propia física del chip de memoria para modificar información crítica.
En el caso de GPUHammer, el ataque se centra en la memoria GDDR6 de GPUs como la NVIDIA RTX A6000. Usando código CUDA de bajo nivel, los investigadores han conseguido orquestar miles de hilos en paralelo para martillear zonas muy concretas de memoria, aprovechando el masivo paralelismo de la GPU para lograr un patrón de acceso extremadamente agresivo pero sigiloso.
Esto se vuelve devastador cuando los datos afectados son los pesos de una red neuronal profunda. Una sola inversión de bit en el exponente de un número en formato FP16 puede transformar un valor razonable en algo astronómico o insignificante, destrozando por completo el equilibrio del modelo. De ahí que un clasificador de imágenes que funcionaba al 80 % de acierto pueda desplomarse hasta el 0,1 % tras el ataque.
Para colmo, GPUHammer puede ejecutarse desde un programa sin privilegios de administrador. Es decir, un usuario normal en un entorno multiusuario —como un servidor en la nube donde se alquilan GPUs por horas— podría dañar los modelos de otros clientes que comparten la misma tarjeta gráfica, sin tocar sus archivos directamente ni romper el sistema operativo.
Cómo funciona un ataque Rowhammer en GPUs modernas
Para entender por qué GPUHammer ha encendido tantas alarmas, hay que repasar primero qué hace que un ataque Rowhammer funcione. En DRAM, los datos se almacenan en celdas que deben refrescarse periódicamente. Si se accede a una fila concreta con suficiente intensidad, se generan perturbaciones eléctricas que pueden influir sobre las filas cercanas. Esa pequeña fuga de energía es justo lo que explotan estos ataques.
En CPUs, esta técnica lleva años estudiándose. Ya en 2014 se demostró que era posible forzar cambios de bit en memoria DDR3 accediendo de forma muy agresiva a filas concretas. Más tarde se replicó en DDR4 y en memorias de bajo consumo como LPDDR4. Con distintas optimizaciones, estos ataques han permitido escalar privilegios, saltarse mecanismos de sandboxing e incluso combinarse con vulnerabilidades como Spectre, dando lugar a variantes como SpecHammer.
En GPUs, sin embargo, se pensaba que la mayor latencia, las frecuencias de refresco más altas, la topología compleja de la memoria GDDR6 y mecanismos propietarios como Target Row Refresh (TRR) hacían impracticable un Rowhammer efectivo. El trabajo tras GPUHammer desmonta esa suposición: mediante ingeniería inversa, mapeo entre direcciones virtuales y físicas, y la construcción de patrones de acceso muy afinados, han demostrado bit flips controlados en GDDR6 real.
Los investigadores han llegado a introducir más de 3.800 inversiones de bit en la memoria de una RTX A6000 sin que el sistema colapsara ni mostrara errores aparentes. El sistema operativo seguía trabajando con normalidad, la GPU no se bloqueaba y los registros no mostraban fallos evidentes. Solo el modelo de IA comenzaba a producir resultados absurdos.
Este enfoque no se limita a corromper modelos. Otros estudios recientes, como los exploits GDDRHammer y GeForge, han ido más allá y han mostrado que, manipulando las tablas de páginas de la GPU mediante Rowhammer, un kernel CUDA sin privilegios puede conseguir acceso arbitrario de lectura y escritura no solo a toda la memoria de la GPU, sino también a la memoria principal de la CPU, llegando a escalar privilegios hasta nivel root en sistemas Linux.
Impacto real: de destruir modelos de IA a comprometer sistemas completos
La cara más mediática de GPUHammer es, sin duda, la destrucción de la precisión de los modelos de inteligencia artificial. En las pruebas con redes como ResNet-20 entrenada en conjuntos de datos tipo ImageNet, se ha visto cómo un clasificador que rondaba el 80 % de acierto caía por debajo del 1 % tras la inyección de bit flips. De cara a un usuario, el sistema sigue funcionando, pero sus predicciones pasan a ser casi aleatorias.
Imagina el escenario en diagnóstico médico: un modelo entrenado para detectar tumores en imágenes puede empezar a etiquetar mal la mayoría de los casos sin que el hospital reciba una alerta de fallo. O en análisis financiero, donde un sistema de scoring crediticio empieza a dar puntuaciones disparatadas que pueden generar pérdidas millonarias o problemas legales. O en conducción autónoma, donde la detección de peatones o señales se vuelve poco fiable de la noche a la mañana.
Otro frente crítico es la infraestructura en la nube. Muchos proveedores ofrecen GPUs compartidas entre distintos clientes. En esos entornos multi-inquilino, un atacante puede alquilar una instancia barata, ejecutar GPUHammer y manipular los datos de otros usuarios que estén utilizando la misma GPU, sin romper aislamiento lógico tradicional ni acceder a sus ficheros. Eso compromete tanto la integridad de modelos como la confidencialidad de los datos procesados por ellos. Para proteger estos despliegues es recomendable seguir guías sobre cómo configurar y mantener servidores, especialmente en entornos compartidos, como esta guía para servidores.
Además, la manipulación de bits no solo sirve para hacer fallar modelos de IA. Trabajos relacionados como CrowHammer han demostrado que, con una inversión de bit bien dirigida, es posible extraer claves privadas de algoritmos criptográficos avanzados. En el caso concreto del esquema de firma postcuántica Falcon (candidato de NIST), se ha logrado recuperar la clave con cientos de millones de firmas cuando se produce una única inversión de bit en el lugar adecuado; con más distorsiones, el número de firmas necesarias se reduce aún más.
Si a eso se suma la posibilidad de corromper estructuras de datos del sistema —como tablas de páginas o metadatos de control—, el resultado es que Rowhammer en GPUs abre la puerta a ataques de escalada de privilegios y compromiso total del sistema, especialmente en combinaciones con fallos ya conocidos en los controladores de NVIDIA.
Relación con otros ataques de hardware: ZenHammer, SpecHammer, GDDRHammer…
GPUHammer no nace de la nada; forma parte de una evolución constante de ataques de canal lateral y fallos físicos en memorias y procesadores. En 2024 se documentó ZenHammer, una vulnerabilidad que afectaba a CPUs Ryzen y EPYC de AMD, y en 2025 se confirmó un Rowhammer operativo contra memorias DDR5 de SK Hynix, poniendo de manifiesto que ni siquiera las generaciones más recientes de DRAM quedan fuera de peligro.
Paralelamente, ataques como SpecHammer combinaron la explotación Rowhammer con debilidades de ejecución especulativa tipo Spectre, consiguiendo escenarios donde la corrupción de memoria y la filtración de datos iban de la mano. En el mundo de las GPUs, los exploits GDDRHammer y GeForge han tirado del mismo hilo hasta convertir la GPU en un trampolín para llegar a la memoria del sistema anfitrión.
Lo que distingue a GPUHammer es que, por primera vez, se demuestra de forma clara y reproducible que la memoria GDDR6 de una GPU comercial puede ser martilleada con éxito, sin necesidad de acceso físico y basándose en capacidades de programación estándar como CUDA. Se trata, por tanto, de la entrada oficial de las tarjetas gráficas en el club de dispositivos vulnerables a Rowhammer.
Por ahora, las validaciones públicas se han centrado en ciertos modelos concretos de NVIDIA: tarjetas de consumo como la RTX 3060 y soluciones profesionales como las RTX 6000 y RTX A6000. Otras GPUs probadas, como algunas RTX 30 o la A100 con memoria HBM, no han mostrado el mismo comportamiento en las condiciones de prueba empleadas, aunque eso no garantiza que sean totalmente inmunes. De hecho, los propios investigadores reconocen que el ritmo de investigación académica va por detrás del ciclo de lanzamientos comerciales, así que es probable que haya más hardware susceptible que aún no se ha analizado en profundidad.
Por el momento, no se conocen ataques Rowhammer sobre GPUs explotados de forma masiva en la práctica, lo que da cierto margen de maniobra a fabricantes y empresas para reforzar sus defensas. Aun así, el mensaje de fondo es claro: las GPUs deben considerarse parte del perímetro de seguridad de la infraestructura, al mismo nivel que CPUs, memorias del sistema y firmware.
Mitigaciones propuestas: ECC, IOMMU y recomendaciones de NVIDIA
Ante la exposición de GPUHammer, NVIDIA ha reconocido la vulnerabilidad y ha publicado una serie de recomendaciones de mitigación para sus clientes, especialmente para centros de datos y despliegues en la nube. La medida estrella es habilitar el soporte ECC (Error-Correcting Code) en las GPUs afectadas.
El ECC permite detectar y corregir errores de un solo bit en memoria, lo que en teoría anula buena parte del impacto de los bit flips inducidos por Rowhammer. En las GPUs profesionales de NVIDIA, esta funcionalidad puede activarse con el comando:
nvidia-smi -e 1
y su estado puede comprobarse con:
nvidia-smi -q | grep ECC
El problema es que activar ECC tiene un coste real en rendimiento y recursos. En la RTX A6000, por ejemplo, se estima una caída de alrededor del 10 % en tareas de aprendizaje automático y una reducción cercana al 6,25 % en memoria disponible. En aplicaciones gráficas puramente visuales, el impacto puede llegar hasta el 30 %. Muchos proveedores cloud y empresas se verán obligados a elegir entre seguridad y costes.
Otra medida importante es la activación de IOMMU (Unidad de Gestión de Memoria de Entrada/Salida) en la BIOS del sistema. El objetivo de IOMMU es aislar dispositivos como GPUs, asignándoles espacios de direcciones virtuales independientes y limitando qué regiones de la memoria del host pueden tocar. Esto dificulta que un exploit desde la GPU alcance directamente la memoria de la CPU.
No obstante, las investigaciones con GDDRHammer y GeForge han demostrado que incluso con IOMMU activado siguen existiendo vectores de ataque, especialmente si se encadenan con vulnerabilidades en controladores o configuraciones laxas. Al igual que ECC, es una capa más de defensa, pero no una garantía absoluta.
En resumen, los fabricantes y administradores de sistemas deben adoptar una combinación de medidas, siguiendo manuales de seguridad informática: activar ECC en cargas críticas, habilitar IOMMU, monitorizar logs de errores de memoria, segmentar adecuadamente entornos multiusuario, y mantenerse al día de los avisos de seguridad del proveedor. GPUs más recientes como las H100 o algunas RTX de nueva generación integran mecanismos reforzados de corrección de errores en chip que las hacen menos vulnerables a este tipo de fallos concretos, pero eso no exime de un diseño de seguridad integral.
GPUHammer, Rowhammer y otros frentes abiertos en seguridad informática
La importancia de GPUHammer se entiende mejor si se coloca dentro del contexto más amplio de la seguridad informática basada en hardware. Mientras los ataques a software y sistemas operativos siguen siendo el pan de cada día, los fallos de bajo nivel en memoria, firmware y procesadores están ganando protagonismo porque son mucho más difíciles de parchear y detectar. Para seguir la actualidad sobre estos riesgos y su impacto en la privacidad, consulta noticias clave sobre seguridad.
Un ejemplo paralelo en el ecosistema de Windows es BlueHammer, una vulnerabilidad zero-day en Windows Defender que ha permitido a atacantes con pocos privilegios escalar hasta NT AUTHORITY\SYSTEM en menos de un minuto, sin necesidad de explotar el kernel ni provocar corrupción de memoria clásica. En este caso, el truco está en encadenar varios componentes legítimos de Windows (Defender, Volume Shadow Copy Service, Cloud Files API, bloqueos oportunistas y la interfaz RPC interna de Defender) para conseguir acceso a la base de datos SAM desde una instantánea de volumen.
El exploit BlueHammer aprovecha una actualización pendiente de firmas de Defender para disparar la creación de una instantánea, bloquea temporalmente el proceso con un truco en Cloud Files y, mientras Defender está congelado, lee y descifra los hashes de contraseña NTLM de la SAM, cambia la contraseña de una cuenta de administrador local, se eleva a SYSTEM, lanza un servicio temporal malicioso y, para rematar, restaura el hash original para borrar huellas. Todo ello partiendo de una cuenta con privilegios estándar.
Este tipo de cadenas deja claro que la superficie de ataque moderna se compone de muchas capas interdependientes: hardware, drivers, servicios del sistema, APIs de sincronización en la nube, mecanismos de copia de seguridad, etc. GPUHammer añade una nueva pieza a este puzle, recordándonos que ni siquiera las GPUs, que muchos administradores veían como meros aceleradores, pueden quedar fuera de la ecuación de seguridad.
De hecho, la combinación de ataques Rowhammer sobre GDDR6 con errores lógicos en drivers o servicios puede derivar en escenarios de compromiso completo al más alto nivel: lectura y escritura arbitraria en memoria de CPU, escalada de privilegios a root/SYSTEM y sabotaje silencioso de infraestructuras de IA. Por ahora, los grandes proveedores cloud cuentan con defensas adicionales y configuraciones muy estrictas, pero la amenaza para entornos menos protegidos —laboratorios, clusters pequeños, servidores on-premise— es cada vez más real.
En este contexto, cobra especial importancia la labor de empresas especializadas en ciberseguridad y pentesting, capaces de evaluar no solo las aplicaciones, sino también la arquitectura de hardware y la configuración de la nube (AWS, Azure, etc.). La integración de agentes de IA dedicados a detectar patrones de comportamiento anómalos en memoria, registros del sistema y tráfico interno es una de las vías más prometedoras para anticiparse a este tipo de ataques.
Todo apunta a que, a medida que las organizaciones sigan trasladando cargas de trabajo a la nube y apoyándose en GPUs compartidas para IA y análisis de datos, la seguridad a nivel de hardware de las GPUs y su memoria de vídeo pasará de ser un tema de nicho a un requisito crítico. Quien ignore este frente corre el riesgo de ver cómo sus modelos clave dejan de ser fiables de la noche a la mañana, o peor aún, se convierten en herramientas manipuladas por atacantes para tomar decisiones dañinas.
GPUHammer es, en definitiva, un toque de atención muy serio para todo el ecosistema tecnológico: desde fabricantes de hardware y proveedores cloud hasta equipos de ciberseguridad y desarrolladores de modelos de IA. Demuestra que una vulnerabilidad tan pequeña como un bit mal colocado puede derribar sistemas gigantescos, y que la protección de la inteligencia artificial no puede limitarse al código y los datos, sino que debe abarcar también la física misma de la memoria sobre la que se ejecuta. Para no limitarse a medidas reactivas, es esencial considerar también la protección online y buenas prácticas integrales.
