- Las GPU NVIDIA con memoria GDDR6 son vulnerables a variantes avanzadas de Rowhammer capaces de provocar miles de cambios de bit controlados.
- Ataques como GDDRHammer y GeForge permiten, desde código sin privilegios en la GPU, tomar control de las tablas de páginas y acceder a toda la memoria de la CPU.
- La activación de IOMMU y ECC mitiga el riesgo, pero con coste de rendimiento y sin ofrecer una protección totalmente infalible frente a todos los vectores.
- Por ahora no se conocen ataques reales, pero la extensión de estas vulnerabilidades a GPUs convierte la seguridad del hardware gráfico en un frente crítico.
En los últimos años, las tarjetas gráficas de NVIDIA con memoria GDDR6 se han convertido en pieza clave de centros de datos, estaciones de trabajo profesionales y PCs domésticos para gaming e inteligencia artificial. Lo que hasta hace poco se veía como un hardware muy potente pero relativamente secundario en términos de seguridad, hoy está bajo el foco: varias investigaciones académicas han demostrado que estas GPU son vulnerables a ataques del tipo Rowhammer capaces de comprometer por completo el sistema.
Este escenario supone un cambio importante en la forma en la que entendemos la ciberseguridad de los equipos modernos: un código sin privilegios que se ejecuta en la GPU puede llegar a tomar el control total de la memoria de la CPU, saltándose mecanismos clásicos de aislamiento y elevando sus permisos hasta nivel root o administrador. Vamos a ver con calma qué es Rowhammer, cómo se ha adaptado al mundo de las gráficas NVIDIA con GDDR6, qué han conseguido exactamente los investigadores y qué opciones reales hay hoy para mitigar el problema.
Qué es Rowhammer y por qué es tan peligroso
Los ataques Rowhammer explotan una debilidad física de la memoria DRAM, tanto en módulos DDR tradicionales como en memorias específicas como GDDR usadas en GPUs. La idea es relativamente sencilla de explicar, aunque su explotación práctica sea muy sofisticada: si se accede de manera extremadamente rápida y repetitiva a determinadas filas (rows) de celdas de memoria, se generan perturbaciones eléctricas que pueden alterar bits almacenados en filas vecinas.
En la práctica, este fenómeno se traduce en que un bit almacenado como 0 puede pasar a 1 y viceversa. A estos cambios se les conoce como «bit-flips» o vuelcos de bits. Lo grave no es solo el error en sí, sino que un atacante con un patrón de acceso cuidadosamente diseñado puede forzar que esos bit-flips ocurran en estructuras de memoria muy concretas, como tablas de páginas o datos sensibles, permitiéndole romper el aislamiento entre procesos o escalar privilegios.
Los primeros trabajos conocidos que demostraron Rowhammer de forma convincente se remontan alrededor de 2014, cuando se vio que el «martilleo» intensivo sobre celdas de memoria DDR3 podía provocar cambios de bits suficientes para ejecutar código con más privilegios de los permitidos. En 2015 se fue un paso más allá, al demostrar ataques prácticos capaces de elevar un usuario sin permisos a administrador y saltarse protección de entornos sandbox solo explotando esta física de la DRAM.
En aquellos tiempos, la atención estaba casi por completo en la memoria del sistema (DDR3 primero, DDR4 después), y se asumía que mecanismos como ECC (Error-Correcting Code) y las técnicas de Target Row Refresh (TRR) implementadas por los fabricantes de memoria serían suficientes para contener la amenaza en escenarios reales. Los estudios recientes han dejado claro que esa confianza era, como mínimo, optimista.
Hoy sabemos que los ataques Rowhammer no se limitan a la memoria principal de la CPU. La evidencia experimental muestra que la memoria GDDR6 utilizada en muchas GPU modernas de NVIDIA también es vulnerable, abriendo la puerta a ataques mucho más profundos que degradar un modelo de IA o corromper datos: se puede llegar a comprometer el sistema operativo anfitrión.
De la RAM del sistema a las GPUs: por qué la memoria GDDR6 de NVIDIA está en el punto de mira
Durante años, la seguridad se ha centrado casi en exclusiva en procesadores, sistemas operativos y aplicaciones. Las GPU se veían más como aceleradores relativamente aislados, potentes pero lejos del núcleo crítico del sistema. Esta visión ya no se sostiene: las gráficas modernas están profundamente integradas con la memoria del host a través de mecanismos como la Memoria Virtual Unificada y el acceso directo mediante el bus PCIe.
Investigadores de la UNC Chapel Hill, Georgia Tech y otros centros han demostrado de manera independiente que las GPUs de NVIDIA basadas en arquitecturas Ampere y Ada Lovelace con memoria GDDR6 son susceptibles a variantes avanzadas de Rowhammer. Sus trabajos, conocidos como GDDRHammer, GeForge y GPUHammer, muestran distintas formas de aprovechar la vulnerabilidad física de la GDDR6 para provocar alteraciones de bits de forma masiva y controlada.
En pruebas prácticas se han observado cifras muy llamativas: más de 1.100 bit-flips en una GeForce RTX 3060 y más de 200 en una RTX A6000 profesional en el caso de GeForge; y promedios del orden de 1.000 cambios de bit por gigabyte de memoria con GDDRHammer, es decir, decenas de veces más que en intentos anteriores sobre GPU. Esto deja claro que la GDDR6 no solo es vulnerable, sino que lo es en un grado que hace viables ataques completos a nivel de sistema.
Hay que subrayar que, por el momento, los modelos concretos demostrados como vulnerables incluyen, entre otros, las NVIDIA GeForce RTX 3060 de consumo y tarjetas profesionales como las RTX 6000, RTX 6000 Ada y RTX A6000 con memoria GDDR6. Los propios autores matizan que no sería raro que otras generaciones recientes de GPUs (no solo de NVIDIA, sino también de AMD o Intel) presenten problemas similares, aunque eso aún está por estudiar de forma sistemática.
Otra pieza clave es que, según las investigaciones publicadas, las memorias GDDR6X y GDDR7 parecen resistir mejor este tipo de ataques con las técnicas utilizadas hasta ahora. Esto no significa que sean invulnerables para siempre, pero sí que, bajo las condiciones concretas de los estudios, no se ha logrado reproducir el mismo nivel de bit-flips que en GDDR6.
Proyectos GDDRHammer, GeForge y GPUHammer: qué han demostrado exactamente
Los nombres que han saltado a los titulares en este ámbito son tres: GDDRHammer, GeForge y el proyecto GPU Rowhammer. Aunque cada línea de trabajo tiene su propio objetivo, todas parten de la misma base: aprovechar Rowhammer en memorias GDDR6 para algo más que un error aislado, construyendo cadenas de ataque completas que permitan comprometer el equipo anfitrión.
GDDRHammer y GeForge se centran en demostrar ataques de escalada de privilegios completos desde código sin privilegios ejecutado en la GPU hasta obtener acceso root en el sistema operativo. Por su parte, GPUHammer se enfoca en el impacto que estos bit-flips pueden tener sobre la precisión de modelos de inteligencia artificial en ejecución, degradando drásticamente su fiabilidad solo con un cambio de bit bien colocado.
Esta nueva generación de trabajos va mucho más allá de las primeras pruebas de concepto con GPUs, que apenas lograban inducir unos pocos bit-flips y se quedaban en degradar ligeramente la inferencia de redes neuronales. Ahora se habla de cadenas de ataque completas, con manipulación detallada de tablas de páginas, evasión de contramedidas de hardware y acceso arbitrario a la memoria del host. No es un simple «bug» molesto, sino una amenaza de seguridad de primer nivel.
Además, ambos estudios principales, GDDRHammer y GeForge, se van a presentar formalmente en el 47º Simposio de Seguridad y Privacidad del IEEE en mayo de 2026, lo que pone de manifiesto su relevancia dentro de la comunidad de seguridad. Hasta ahora, hablamos de trabajos académicos, pero su publicación ayuda a que fabricantes y proveedores de servicios tomen conciencia y comiencen a plantear mitigaciones más robustas.
Detalles técnicos: cómo logran forzar los cambios de bits en GDDR6
Para que Rowhammer sea realmente útil en un ataque, no basta con provocar un par de errores de forma aleatoria. Los investigadores han tenido que diseñar patrones de acceso extremadamente finos que les permitan sortear las defensas de la memoria GDDR6, localizar celdas especialmente vulnerables y concentrar los bit-flips en las estructuras que más interesan para escalar privilegios.
Una de las claves está en las mitigaciones TRR (Target Row Refresh), que tratan de identificar patrones de acceso sospechosos y refrescar de manera preventiva las filas vecinas. GeForge introduce para ello patrones no uniformes que se reparten por varios intervalos de refresco, cambiando la frecuencia e incluso el orden de activación de filas para que el hardware no detecte que se está martilleando una región concreta.
Por su parte, GDDRHammer aprovecha que las filas de memoria DRAM en las tarjetas gráficas tienen una disposición geométrica no monótona, es decir, la relación entre dirección física y posición real en los bancos de memoria no es lineal ni sencilla. Tras un proceso de análisis, consiguen construir patrones de doble cara (double-sided Rowhammer) altamente efectivos, incluso cuando las direcciones físicas parecen distantes sobre el papel.
También es crucial el reparto de trabajo entre los multiprocesadores de transmisión (SMs) de la GPU. Al asignar bancos de memoria concretos a SMs específicos y sincronizar parcialmente su ejecución, logran maximizar el número de activaciones por unidad de tiempo sin que los mecanismos internos de seguridad de la DRAM puedan actuar a tiempo.
Como resultado de estos enfoques, se logra una tasa de bit-flips muy elevada: el método GeForge alcanzó el entorno de 1.171 cambios de bit en una RTX 3060 y 202 en una RTX A6000; GDDRHammer informó de una media de 1.032 bit-flips por gigabyte de memoria, lo que supone una mejora de unas 64 veces respecto a intentos previos sobre GPUs. Con números así, ya no estamos ante un fenómeno esporádico, sino ante un arma potencialmente sistemática.
Del bit-flip al control total: manipulación de tablas de páginas y escalada de privilegios
Lo verdaderamente impresionante de estos trabajos es cómo convierten pequeñas alteraciones eléctricas en control absoluto del sistema. Para ello, los ataques apuntan a las tablas de páginas jerárquicas que administra la unidad de gestión de memoria (MMU) de la GPU, estructuras críticas que determinan cómo se traducen las direcciones virtuales en direcciones físicas.
El problema es que estas tablas de páginas suelen vivir en regiones protegidas o poco predecibles de la memoria, no exactamente donde un atacante querría tenerlas para provocar cambios de bits. Aquí entra en juego el llamado «masajeo de memoria»: técnicas que fuerzan al asignador a colocar esas tablas en ubicaciones físicas que el atacante ha identificado previamente como vulnerables a Rowhammer.
GDDRHammer recurre a mapeos de memoria compartida para saturar el asignador y estrechar la distancia entre la memoria controlada por el usuario y las tablas de páginas. GeForge se enfoca de forma muy concreta en las entradas del Directorio de Páginas 0 (PD0). Al asignar y liberar cuidadosamente bloques de Memoria Virtual Unificada, consiguen que se creen nuevas estructuras PD0 justo en una subpágina de 4 KB donde saben que es factible inducir bit-flips.
Una vez atrapadas esas estructuras en posiciones vulnerables, basta un único cambio de bit crítico para alterar el puntero de dirección física de la entrada de tabla de páginas. De ese modo, la entrada deja de apuntar a una tabla legítima y pasa a referirse a una tabla de páginas falsificada, controlada al 100 % por el atacante. Desde ese momento, todo acceso que use esa entrada se rige por las reglas, permisos y redirecciones que haya decidido el código malicioso.
El siguiente paso es aprovechar un campo específico dentro de estas entradas que indica si la dirección física corresponde a memoria local de la GPU o a memoria del sistema anfitrión. Modificando este valor, el atacante redirige operaciones de lectura y escritura de la GPU hacia la RAM física de la CPU a través del bus PCIe, eludiendo la propia MMU del procesador central y las protecciones de copia en escritura del sistema operativo.
En sus demostraciones, los investigadores llegaron incluso a sobrescribir directamente el segmento de código de la biblioteca estándar de C en la memoria del host. Concretamente, inyectaron código máquina en una función usada por un programa legítimo con privilegios elevados. Cuando ese programa ejecutó la función modificada, el código malicioso se disparó con todos sus permisos, otorgando al atacante una consola de superusuario y control total del sistema.
Impacto en la inteligencia artificial: el caso GPUHammer
Más allá del control del sistema, otro ángulo preocupante es el efecto de Rowhammer sobre la fiabilidad de modelos de IA. GPUHammer se centra precisamente en esa vertiente: cómo un único bit-flip bien situado puede tirar por tierra la precisión de una red neuronal que se ejecuta en la GPU.
En uno de los experimentos descritos, se utilizó una NVIDIA RTX A6000 con arquitectura Ampere y 48 GB de GDDR6 para ejecutar cinco modelos de IA basados en ImageNet, previamente entrenados. En condiciones normales, estos modelos obtenían alrededor de un 80 % de precisión. Una vez aplicado GPUHammer y provocada una manipulación de bit en posiciones críticas de memoria, la precisión se desplomó hasta niveles tan bajos como el 0,1 %.
Lo chocante es que para lograr este desastre solo fue necesario un único cambio de bit en la memoria. Si trasladamos esto a entornos de producción, donde se despliegan modelos de IA en servicios críticos (desde diagnóstico médico hasta sistemas de recomendación en plataformas gigantes), el potencial de causar daño o sabotaje es evidente, incluso sin necesidad de escalar privilegios al sistema operativo.
El propio ataque GPUHammer demuestra que, aunque inicialmente pueda verse como un trabajo de investigación, existe un vector real de ataque contra la integridad de los resultados de IA. Un adversario que logre ejecutar código en la GPU, aunque sea con pocos permisos, podría manipular silenciosamente los modelos para hacerlos inservibles o, peor aún, sesgar sus decisiones sin que nadie lo note a corto plazo.
Como respuesta a estos resultados, NVIDIA ha reconocido el problema y ha señalado la activación de ECC en la GPU como principal medida de mitigación. Sin embargo, esto no sale gratis: en pruebas de inferencia de IA, se ha observado una pérdida de rendimiento de alrededor de un 10 % y una reducción aproximada del 6,25 % en la memoria utilizable al habilitar ECC, lo cual no es un detalle menor para quienes exprimen el hardware al máximo.
Mitigaciones propuestas: IOMMU, ECC y sus limitaciones
Las investigaciones coinciden en dos técnicas principales para intentar contener estos ataques: activar la IOMMU en la BIOS del sistema y habilitar los códigos de corrección de errores (ECC) en las GPUs que lo soportan. Ambas son útiles, pero ninguna es una solución mágica.
La IOMMU (Unidad de Gestión de Memoria de Entrada/Salida) actúa como una capa de traducción y filtrado entre dispositivos como la GPU y la memoria del host. Cuando está activada y configurada correctamente, restringe el acceso directo de la tarjeta gráfica a rangos concretos de memoria, impidiendo que pueda leer o escribir libremente en toda la RAM del sistema aunque logre secuestrar sus propias tablas de páginas.
El problema práctico es que, en muchos sistemas Linux comerciales, la IOMMU viene desactivada por defecto por motivos de compatibilidad y rendimiento. Esto deja a una cantidad considerable de equipos expuestos, especialmente en entornos donde se prioriza el máximo rendimiento bruto de la GPU. Además, los propios estudios han mostrado que hay técnicas (como el «masajeo de memoria» de GeForge) que pueden seguir logrando efectos importantes incluso con ciertos niveles de protección activados.
Por otro lado, ECC está pensado para detectar y corregir errores de un solo bit en la memoria, justo el tipo de fallo que provoca Rowhammer en la mayoría de los casos. Activar ECC en las GPUs profesionales de NVIDIA mitiga enormemente la fiabilidad del ataque, porque los bit-flips se corrigen antes de que tengan efectos apreciables. Sin embargo, esta característica suele estar desactivada de fábrica en muchas tarjetas de estación de trabajo por la penalización de rendimiento que conlleva y directamente no está presente en la mayoría de modelos de consumo.
Hay además un matiz incómodo: varios trabajos han demostrado que algunas variantes avanzadas de Rowhammer pueden llegar a burlar las defensas de ECC, por ejemplo, provocando cambios de múltiples bits en la misma celda o combinando patrones que superen la capacidad de corrección. Es una carrera constante entre quienes diseñan mitigaciones y quienes estudian cómo sortearlas.
En cualquier caso, mientras NVIDIA no proporcione soluciones específicas de firmware, controlador o hardware para este problema, la recomendación general de los investigadores es clara: activar la IOMMU en la BIOS siempre que sea posible y habilitar ECC en las GPU compatibles, asumiendo la penalización moderada en rendimiento y memoria efectiva como un mal necesario para mejorar la seguridad.
Prevalencia del problema, modelos afectados y situación actual
Una de las preguntas clave es: ¿cuántas GPU se ven realmente afectadas por estas vulnerabilidades? Los estudios publicados dan algunas pistas concretas, aunque la foto completa todavía está en construcción. GDDRHammer evaluó 25 tarjetas gráficas de gama alta con GDDR6, descubriendo que 16 de 17 modelos RTX A6000 basados en Ampere eran vulnerables a ataques Rowhammer efectivos.
A estas se suman las pruebas documentadas sobre la GeForce RTX 3060 de consumo y la RTX 6000 Ada, que también mostraron una cantidad significativa de bit-flips en condiciones de laboratorio. Aunque por ahora solo se ha confirmado el compromiso total de tres modelos concretos en ataques completos, los propios autores insisten en que no sería en absoluto sorprendente que otras gráficas recientes de NVIDIA, e incluso de AMD o Intel, compartan el mismo talón de Aquiles.
De cara al usuario final, esto significa que cualquier equipo con una GPU NVIDIA con memoria GDDR6 podría ser potencialmente vulnerable, especialmente si utiliza controladores y configuraciones del sistema que no activan ni IOMMU ni ECC. Y dado que la escalada de privilegios se produce a nivel de hardware, los antivirus y soluciones de seguridad tradicionales tienen muy poca o ninguna visibilidad de lo que está pasando, lo que dificulta su detección.
La buena noticia, dentro de lo que cabe, es que por el momento no se conocen casos de explotación activa de estas técnicas en ataques reales fuera del entorno académico. Los investigadores remarcan que esto da cierto margen para que la industria responda, fabricantes incluidos, adoptando medidas adicionales antes de que aparezcan kits de explotación listos para usar.
En entornos especialmente críticos, como las grandes plataformas cloud y los proveedores de servicios de IA a gran escala, lo habitual es contar ya con niveles de seguridad significativamente superiores a los de un PC de escritorio. Esto incluye configuraciones más estrictas de IOMMU, monitorización más exhaustiva y segmentación de cargas de trabajo, lo que reduce el riesgo práctico frente a un ataque Rowhammer contra la GPU en comparación con lo que podría ocurrir en el ordenador personal de un usuario doméstico o en servidores mal configurados.
Por su parte, NVIDIA ha remitido a la documentación publicada anteriormente en el contexto de otro ataque relacionado, GPUHammer, ofreciendo una página de referencia con recomendaciones de configuración y mitigación, aunque sin entrar todavía en demasiados detalles específicos sobre estas nuevas variantes GDDRHammer y GeForge.
El panorama que se dibuja es el de una vulnerabilidad inherente a la física de la DRAM que se ha ido expandiendo desde la memoria del sistema a prácticamente cualquier componente que dependa de celdas DRAM densas: CPUs, memorias DDR tradicionales, módulos DDR5 concretos como los de SK Hynix afectados en 2025, memorias usadas por CPUs de AMD como ZenHammer en Zen 2 y Zen 3, y ahora también GDDR6 en GPUs NVIDIA.
A día de hoy, todo apunta a que Rowhammer seguirá siendo un campo de batalla durante bastante tiempo, tanto en investigación académica como en la industria. Los descubrimientos sobre las gráficas de NVIDIA con GDDR6 son un aviso claro de que ya no basta con preocuparse por el procesador o el sistema operativo: la seguridad del hardware gráfico se ha convertido, le guste a quien le guste, en una pieza más del puzle.
Con toda la información publicada hasta ahora, queda claro que la combinación de creciente complejidad del hardware, dependencia masiva de GPUs para IA y gaming, y vulnerabilidades físicas como Rowhammer sitúa a las tarjetas gráficas de NVIDIA con GDDR6 en una posición delicada desde el punto de vista de la seguridad. Aunque hoy por hoy el riesgo práctico para el usuario medio no sea extremo, la posibilidad de pasar de simples bit-flips a la toma de control total de un sistema mediante técnicas como GDDRHammer o GeForge convierte a estas investigaciones en algo que fabricantes, administradores de sistemas y profesionales de ciberseguridad deberían tomarse muy en serio, empezando por revisar configuraciones como IOMMU y ECC allí donde estén disponibles.
