HP afirma que inhabilitan las impresoras que usan tinta de terceros debido a... los hackers

El jueves pasado, Enrique Lores, CEO de HP, abordó la controvertida práctica de la compañía de inhabilitar las impresoras cuando los usuarios introducen en ellas tinta de terceros. En declaraciones a la cadena de televisión CNBC, comentó que “hemos visto que es posible insertar virus en los cartuchos. A través del cartucho, [el virus puede] pasar a la impresora, [y luego] de la impresora, llegar a la red”.

Este aterrador escenario ayudaría a explicar por qué HP, que este mes fue objeto de otra demanda por su sistema de Seguridad Dinámica, que condiciona a que las impresoras funcionen solo con cartuchos que dispongan de circuitos electrónicos de HP nuevos o reutilizados, insiste en implantarlo en las impresoras.

¿Cuál es el problema de las impresoras HP y la Seguridad Dinámica?

Ars Technica

Este artículo fue publicado originalmente en Ars Technica, una fuente confiable de noticias tecnológicas, análisis de políticas de tecnología, reseñas y más. Ars es propiedad de la empresa matriz de WIRED, Condé Nast.

Como dijimos, la Seguridad Dinámica impide que las impresoras HP funcionen si se instala un cartucho de tinta sin chip o circuitos electrónicos de la marca. La empresa publicó actualizaciones de firmware que bloquean la impresión con cartuchos de este tipo, lo que dio lugar a la demanda mencionada, en la que se solicita una certificación de acción colectiva. La denuncia alega que no se les informó a los clientes que tales actualizaciones de los modelos vendidos a finales de 2022 y principios de 2023 provocarían que no sirvieran. Y se solicita una indemnización por daños y perjuicios, así como una orden judicial que impida a HP distribuir actualizaciones de impresoras que bloqueen los cartuchos sin un chip propio de la compañía.

Pero, ¿los cartuchos de tinta hackeados son algo que de verdad debería preocuparnos?

Para investigarlo, me puse en contacto con Dan Goodin, editor en jefe de Seguridad de Ars Technica. Me comentó que no conocía ningún ataque usado activamente que fuera capaz de aprovechar un cartucho para infectar una impresora.

Goodin también planteó la pregunta en Mastodon y los profesionales de ciberseguridad, muchos de ellos expertos en hackeo de dispositivos integrados, se mostraron claramente escépticos.

Otro usuario, que se hace llamar Graham Sutherland/Polynomial en dicha plataforma digital, se refirió a la memoria de solo lectura programable y borrable eléctricamente o EEPROM (por sus siglas en inglés) con detección de presencia en serie o SPD (por su siglas en inglés), una forma de memoria flash muy empleada en los cartuchos de tinta, al decir que “en mi vida he visto y hecho cosas de hardware verdaderamente descabelladas, como ocultar datos en EEPROM con SPD en DIMM [módulos de memoria de dos líneas] (y sustituirlos por microcontroladores para hacer travesuras similares), así que créeme cuando te digo que su declaración es totalmente inverosímil incluso en un laboratorio, y mucho más en la vida real, y aún más a una escala que afecte a empresas o particulares en lugar de a determinados agentes políticos”.

La evidencia de HP sobre impresoras hackeadas

Como era de esperar, la afirmación de Lores procede de una investigación respaldada por HP. El programa de recompensas por fallos de la compañía encargó a especialistas de la plataforma de ciberseguridad Bugcrowd que determinaran si es posible usar un cartucho de tinta como amenaza cibernética. HP argumentó que los chips microcontroladores de los cartuchos, que se encargan de comunicarse con la impresora, serían una vía de entrada para los ataques.

Como se detalla en un artículo de 2022 de la firma Actionable Intelligence, un investigador del programa encontró una forma de hackear una impresora a través de un cartucho de tinta de terceros. Al parecer, el experto no pudo realizar el mismo ataque con un cartucho de HP.

Shivaun Albright, tecnóloga en jefe de seguridad en impresión de HP, manifestó en su momento que “un investigador encontró una vulnerabilidad en la interfaz serial que conecta el cartucho y la impresora. Básicamente, identificaron un desbordamiento del búfer. Esto ocurre cuando una interfaz no ha sido sometida a pruebas o validación exhaustivas, lo que permite que un hacker desborde la memoria más allá de los límites de ese búfer concreto. Y eso les da la posibilidad de inyectar código en el dispositivo”.

Albright añadió que el malware “permaneció en la memoria de la impresora” después de retirar el cartucho.

HP reconoce que no hay pruebas de que se haya producido un hackeo de este tipo en la práctica. Aun así, como los chips utilizados en los cartuchos de tinta de terceros son reprogramables, es decir, que su “código podría modificarse mediante una herramienta de restablecimiento [directamente] sobre la marcha”, según Actionable Intelligence, son menos seguros, destaca la empresa. Se dice que los chips son programables para que sigan funcionando en las impresoras tras las actualizaciones del firmware.

HP también cuestiona la seguridad de las cadenas de suministro de las empresas de tinta de terceros, sobre todo en comparación con la suya, que cuenta con la certificación ISO/IEC, un estándar internacional para la seguridad de la información y en materia protección de datos y privacidad.

Así que HP encontró una forma teórica de hackear los cartuchos y es razonable que la compañía lance una recompensa por errores para identificar tal riesgo. Pero su solución para esta amenaza se anunció antes de demostrar que existía esta. HP añadió la capacitación en seguridad de los cartuchos de tinta a su programa en 2020 y la investigación mencionada se publicó en 2022. La empresa comenzó a utilizar la Seguridad Dinámica en 2016, aparentemente para resolver el problema cuya existencia pretendía demostrar años después.

Además, los profesionales de ciberseguridad con los que habló Ars Technica tienen la sensación de que, aunque esta amenaza existiera, requeriría un elevado nivel de recursos y habilidades, que normalmente se reservan para atacar a víctimas de alto perfil. Siendo realistas, la inmensa mayoría de los consumidores particulares y las empresas no deberían preocuparse seriamente de que los cartuchos de tinta se utilicen para hackear sus máquinas.

¿De quién es la tarea de garantizar la seguridad de las impresoras HP?

Con la Seguridad Dinámica, HP pretende brindar una solución a las ciberamenazas contra los cartuchos de tinta. Pero su propuesta consiste en incomodar a los clientes en lugar de reforzar las impresoras HP para que sean invulnerables a la ejecución remota de código a través de los cartuchos.

En respuesta a la investigación de Bugcrowd, HP publicó una actualización de seguridad en 2022. A pesar de ello, Albright señaló entonces que seguía sin ser fiable para los clientes utilizar tinta de terceros porque la empresa “nunca garantizaría que todas las interfaces con un cartucho que no fuera de HP en nuestro dispositivo estuvieran libres de errores y vulnerabilidades de seguridad”.

Aunque sea teóricamente posible que los hackers aprovechen los cartuchos de tinta, se trata de una preocupación mínima, y existen amenazas a la seguridad de las impresoras mucho más apremiantes que la tinta de terceros. Hay muchas maneras más sencillas de que un hacker meticuloso se introduzca en la red de un usuario de impresoras, como explotar vulnerabilidades de software sin corregir.

Además, como las actualizaciones de firmware de HP se asocian a impresoras que dejan de funcionar de repente, hemos visto informes de usuarios que evitan instalarlas y animan a otros a hacer lo mismo, lo que daría lugar a que se perdieran de importantes parches.

Un vocero de HP declinó hacer comentarios sobre estas cuestiones.

El verdadero objetivo de HP: proteger la propiedad intelectual

La respuesta inicial de Lores a la pregunta de CNBC Television sobre la demanda quizá sea reveladora. El CEO contestó a las quejas formuladas por los consumidores destacando las propias necesidades de HP al resaltar que “es importante proteger nuestra propiedad intelectual. Hay mucha de ella incorporada en las tintas de las impresoras, en las propias impresoras… Y lo que hacemos es que, cuando identificamos cartuchos que violan nuestra propiedad intelectual, impedimos que la impresora funcione”.

Cuando HP dio a conocer la Seguridad Dinámica en 2016, sostenía que la función ofrecería “la mejor experiencia al consumidor” y protegería a los clientes de cartuchos “que infringen nuestra propiedad intelectual”. Ocho años y algunas actualizaciones repentinas del firmware después, parece que lo primero quedó relegado a un papel secundario frente a lo segundo.

Lores afirmó a la CNBC que la tinta que no sea de HP crearía “todo tipo de problemas” y que las impresoras dejarían de funcionar si un cliente usa alguna que no fue “diseñada” para trabajar con impresoras de la compañía.

Por supuesto, los fabricantes de tinta de terceros te harán creer que su tinta está pensada para servir con las marcas de impresoras que indican en las cajas de sus productos. Pero dependiendo de la calidad del dispositivo, es posible que obtengas resultados inconsistentes con los cartuchos de otro proveedores.

Aunque la reputación de la marca y la fiabilidad sean buenas razones para que alguien opte por un cartucho de HP en lugar de uno de terceros, estas decisiones suelen dejarse en manos de los clientes, no se fuerzan mediante actualizaciones de firmware. Las compañías como HP esperan ser retribuidas por productos, asistencia y garantías superiores, pero los consumidores que quieran arriesgar la calidad para ahorrar dinero preferirán tener otras opciones.

HP quiere hacer de la impresión un servicio de suscripción

Está claro que las tácticas de HP pretenden persuadir a los propietarios de sus impresoras para que se comprometan a adquirir su tinta, que ayuda a la compañía a obtener ingresos recurrentes y compensa el dinero perdido cuando se venden las impresoras. Lores confirmó esto en la entrevista al reiterar que la empresa gana realmente dinero con la venta de los suministros.

Pero las ambiciones de HP no acaban ahí. Prevé un mundo en el que todos sus clientes de impresoras también se suscriban a un programa propio que ofrezca tinta y otros servicios relacionados con ellas. “Nuestro objetivo a largo plazo es convertir la impresión en una suscripción. Esto es en realidad lo que hemos estado impulsando”, subrayó Lores.

HP se centró durante años en impulsar su programa de suscripción mensual de tinta, Instant Ink. En diciembre, Marie Myers, directora financiera de HP, señaló que los modelos de suscripción como este generan “un incremento del 20% por ciento en el valor de ese cliente, ya que lo fidelizas”. En su informe financiero más reciente, HP nombró a Instant Ink como una de sus “áreas clave de crecimiento”.

Cuando le preguntaron por la preocupación de que HP esté haciendo subir el precio de la tinta de las impresoras, Lores dijo a la cadena de televisión que “esto forma parte del modelo de negocio que se ha desarrollado a lo largo del tiempo”, y recordó que en las cajas de las impresoras de la marca se indica qué equipos llevan Seguridad Dinámica. El sitio web de HP también lo especifica.

Pero aunque cuentes con esa información, no está claro si una impresora HP funcionará inmediatamente con tinta de terceros. Actualmente, la empresa vende equipos que trabajan con tinta de otros fabricantes, pero explica que podría actualizarlas en el futuro para “impedir que los cartuchos que empleen un chip que no sea de HP o circuitos modificados o que no pertenezcan a la marca sirvan en la impresora, incluidos los cartuchos actuales”.

¿Quién invierte en quién?

HP se ha enfrentado a numerosas demandas relacionadas con el bloqueo de la funcionalidad de los dispositivos debido a la tinta de terceros y ha pagado millones por ello. Entonces, ¿por qué sigue por este camino? Eso quizá se explique en parte por la perspectiva de la compañía sobre la relación vendedor-cliente.

Cuando la gente compra una impresora HP, la considera una inversión. Pero la empresa piensa que cuando adquieres una, la compañía está invirtiendo en ti. Pues como declaró Lores, “esto es algo que comunicamos hace unos años, que nuestro objetivo era reducir el número de lo que llamamos clientes no rentables. Porque cada vez que uno compra una impresora, es una inversión para nosotros. Estamos invirtiendo en ese cliente y si este no imprime lo suficiente o no utiliza nuestros suministros, es una mala inversión”.

HP espera que los consumidores que ya le entregaron dinero por una impresora sigan pagando a la empresa durante años. Y sus clientes piensan que su compra se amortizará a largo plazo sin condiciones sobre la marca de tinta que deben usar. Si HP no encuentra la forma de hacer que estos sientan que su adquisición es un beneficio y no un compromiso de darle dinero a la empresa con regularidad, es posible que la gente deje de considerar que sus impresoras son una inversión rentable.

Cuando le solicitamos un comentario, un representante de HP dijo a Ars Technica, en parte, que HP “ofrece una amplia gama de productos y soluciones de impresión para que los clientes elijan, incluida Instant Ink” y que amplía “regularmente” sus ofertas “para crear más valor” para los consumidores.

See the video on YouTube.

Enrique Lores, CEO de HP, habla sobre las tendencias del mercado de las computadoras.

Artículo publicado originalmente en Ars Technica. Adaptado por Andrei Osornio.