Las tarjetas gráficas NVIDIA, más allá del gaming, se han convertido en pilares de la computación en inteligencia artificial. Pero ahora un grupo de investigadores de la Universidad de Toronto ha descubierto una vulnerabilidad conocida como GPUHammer, que permite alterar bits directamente en la memoria GDDR6, incluso sin acceder al software ni a los datos visibles del sistema. El resultado puede ser devastador: en una prueba con una RTX A6000, la precisión de un modelo de IA pasó del 80 % a casi cero con solo unos pocos bits cambiados.
¿Cómo funciona exactamente GPUHammer?
Este ataque se basa en una técnica conocida como Rowhammer, ya utilizada anteriormente para manipular celdas de DRAM en CPUs. En este caso, se ha trasladado el concepto a la memoria de vídeo. Mediante accesos repetidos y muy rápidos a direcciones específicas, se genera interferencia electromagnética en celdas contiguas, provocando errores de bit.
Lo preocupante es que estos errores no se detectan con antivirus ni comprobaciones de integridad tradicionales, ya que no modifican archivos ni procesos. Si el ataque se aplica sobre los pesos de una red neuronal, el modelo puede comenzar a fallar gravemente, por ejemplo clasificando gatos como tostadoras.
El papel de la memoria ECC
La buena noticia es que existe defensa: ECC (Error Correction Code). Este sistema añade bits extra a cada bloque de memoria para detectar y corregir errores simples de forma automática. Las GPUs modernas de NVIDIA (Ampere, Hopper, Ada, Turing) ya integran ECC en hardware, protegiendo automáticamente la memoria de estos ataques. En modelos más antiguos, es necesario activar ECC manualmente desde el panel de control o el driver.
Eso sí, activar ECC conlleva una ligera penalización de rendimiento (hasta un 10%) y reducción de VRAM útil (~6,5%), pero puede ser clave para entornos críticos.
¿Quién está realmente en riesgo?
GPUHammer afecta principalmente a entornos compartidos, como centros de datos, servidores en la nube o infraestructuras virtuales. En un PC doméstico, donde la GPU no se comparte, el riesgo es casi inexistente. Aun así, la investigación sirve como recordatorio de que la memoria de vídeo no es inmune a ataques físicos.
Los desarrolladores de IA pueden implementar protecciones adicionales como hashes de verificación o auditorías de precisión, mientras que los proveedores cloud deberían verificar la activación de ECC y monitorizar caídas inexplicables de rendimiento en modelos.
Este descubrimiento demuestra que la seguridad en IA también depende del hardware. Gracias al trabajo del equipo canadiense, se abre la puerta a diseños más robustos y seguros en futuras generaciones de GPUs.
Vía: Guru3D
