La computación confidencial: su mecanismo de confianza está roto

La atestación remota de la computación confidencial tiene fallos graves. Descubren ataques de desvío que burlan la confianza en la nube soberana.

4 jul 2026 • 3 min de lectura • Equip Q2BSTUDIO

Fallo crítico en la atestación intra-handshake de TLS

La computación confidencial se ha presentado como la gran promesa para garantizar la soberanía de datos en entornos cloud, especialmente en Europa, donde marcos como SecNumCloud exigen niveles de seguridad jurídica y técnica. Sin embargo, investigaciones independientes revelan que el mecanismo sobre el que se apoya —la atestación remota— presenta vulnerabilidades arquitectónicas que comprometen la confianza que se le supone. El fallo no está en el hardware, sino en el protocolo que debería demostrar criptográficamente que un servidor ejecuta un Entorno de Ejecución Confiable (TEE) genuino y no manipulado. Los ataques de relay descubiertos permiten redirigir el tráfico de un cliente hacia un servidor malicioso sin que aquel lo perciba, ya que el protocolo verifica la integridad del software, pero no la ubicación física del hardware. Esto tiene implicaciones directas para las empresas que confían en soluciones de nube pública o híbrida para procesar datos sensibles.

Para las organizaciones que buscan aplicaciones a medida o sistemas críticos en cloud, estas debilidades significan que la mera adopción de computación confidencial no basta para asegurar la confidencialidad y el control de los datos. Los departamentos de TI deben complementar estas tecnologías con análisis formales y auditorías profundas, algo que excede las revisiones manuales tradicionales. En este escenario, contar con servicios de ciberseguridad y pentesting que incorporen métodos de verificación formal se convierte en una necesidad estratégica para detectar vulnerabilidades que los proveedores de hardware pueden pasar por alto. Q2BSTUDIO, como empresa de desarrollo de software y tecnología, integra estas prácticas en sus proyectos de software a medida, garantizando que las arquitecturas de confianza no se basen únicamente en promesas comerciales.

El caso analizado por los investigadores —que afecta a implementaciones productivas como las de Meta, Edgeless Systems o la plataforma Cocos AI— demuestra que incluso auditorías exhaustivas realizadas por firmas de renombre pueden no detectar este tipo de fallos si no emplean herramientas de análisis simbólico. La vulnerabilidad, clasificada con un CVSS de 7.5, supera en gravedad a otras conocidas como BadRAM. Esto pone de relieve la importancia de adoptar un enfoque multidisciplinar que combine inteligencia artificial para la detección de patrones anómalos, servicios cloud AWS y Azure con configuraciones auditadas, y servicios inteligencia de negocio que permitan monitorizar el comportamiento de las cargas de trabajo. Q2BSTUDIO ofrece soluciones de Power BI y IA para empresas que ayudan a visualizar y alertar sobre desviaciones en la postura de seguridad, así como agentes IA que automatizan la respuesta ante incidentes.

La raíz del problema radica en el diseño del protocolo attested TLS, que no logra vincular la evidencia de atestación con la clave de cifrado de los datos de aplicación en tiempo real. Los investigadores concluyen que, dentro del esquema actual de atestación intra-handshake, alcanzar el nivel de seguridad necesario para impedir ataques de relay puede ser imposible sin modificar el propio TLS. Esto obliga a replantear las estrategias de soberanía digital: no basta con elegir un proveedor de nube europeo o un chip con TEE; hay que verificar que el canal de atestación sea robusto. Q2BSTUDIO, con su experiencia en servicios cloud AWS y Azure, asesora a sus clientes en la implementación de controles complementarios como la post-atestación, el cifrado extremo a extremo gestionado por el cliente y la supervisión continua de la infraestructura, minimizando el riesgo de que un atacante explote estas debilidades arquitectónicas.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.

Live Chat