La computación confidencial: su mecanismo de confianza está roto

La atestación remota de la computación confidencial tiene fallos graves. Descubren ataques de desvío que burlan la confianza en la nube soberana.

4 jul 2026 • 3 min read • Q2BSTUDIO Team

Fallo crítico en la atestación intra-handshake de TLS

La computación confidencial se ha presentado como la gran promesa para garantizar la soberanía de datos en entornos cloud, especialmente en Europa, donde marcos como SecNumCloud exigen niveles de seguridad jurídica y técnica. Sin embargo, investigaciones independientes revelan que el mecanismo sobre el que se apoya —la atestación remota— presenta vulnerabilidades arquitectónicas que comprometen la confianza que se le supone. El fallo no está en el hardware, sino en el protocolo que debería demostrar criptográficamente que un servidor ejecuta un Entorno de Ejecución Confiable (TEE) genuino y no manipulado. Los ataques de relay descubiertos permiten redirigir el tráfico de un cliente hacia un servidor malicioso sin que aquel lo perciba, ya que el protocolo verifica la integridad del software, pero no la ubicación física del hardware. Esto tiene implicaciones directas para las empresas que confían en soluciones de nube pública o híbrida para procesar datos sensibles.

Para las organizaciones que buscan aplicaciones a medida o sistemas críticos en cloud, estas debilidades significan que la mera adopción de computación confidencial no basta para asegurar la confidencialidad y el control de los datos. Los departamentos de TI deben complementar estas tecnologías con análisis formales y auditorías profundas, algo que excede las revisiones manuales tradicionales. En este escenario, contar con servicios de ciberseguridad y pentesting que incorporen métodos de verificación formal se convierte en una necesidad estratégica para detectar vulnerabilidades que los proveedores de hardware pueden pasar por alto. Q2BSTUDIO, como empresa de desarrollo de software y tecnología, integra estas prácticas en sus proyectos de software a medida, garantizando que las arquitecturas de confianza no se basen únicamente en promesas comerciales.

El caso analizado por los investigadores —que afecta a implementaciones productivas como las de Meta, Edgeless Systems o la plataforma Cocos AI— demuestra que incluso auditorías exhaustivas realizadas por firmas de renombre pueden no detectar este tipo de fallos si no emplean herramientas de análisis simbólico. La vulnerabilidad, clasificada con un CVSS de 7.5, supera en gravedad a otras conocidas como BadRAM. Esto pone de relieve la importancia de adoptar un enfoque multidisciplinar que combine inteligencia artificial para la detección de patrones anómalos, servicios cloud AWS y Azure con configuraciones auditadas, y servicios inteligencia de negocio que permitan monitorizar el comportamiento de las cargas de trabajo. Q2BSTUDIO ofrece soluciones de Power BI y IA para empresas que ayudan a visualizar y alertar sobre desviaciones en la postura de seguridad, así como agentes IA que automatizan la respuesta ante incidentes.

La raíz del problema radica en el diseño del protocolo attested TLS, que no logra vincular la evidencia de atestación con la clave de cifrado de los datos de aplicación en tiempo real. Los investigadores concluyen que, dentro del esquema actual de atestación intra-handshake, alcanzar el nivel de seguridad necesario para impedir ataques de relay puede ser imposible sin modificar el propio TLS. Esto obliga a replantear las estrategias de soberanía digital: no basta con elegir un proveedor de nube europeo o un chip con TEE; hay que verificar que el canal de atestación sea robusto. Q2BSTUDIO, con su experiencia en servicios cloud AWS y Azure, asesora a sus clientes en la implementación de controles complementarios como la post-atestación, el cifrado extremo a extremo gestionado por el cliente y la supervisión continua de la infraestructura, minimizando el riesgo de que un atacante explote estas debilidades arquitectónicas.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat