La vieja vulnerabilidad Rowhammer acaba de dar otro salto inquietante. Dos grupos de investigación han demostrado de forma independiente que ciertas GPU NVIDIA con memoria GDDR6 pueden usarse como punto de entrada para comprometer no solo la memoria de la propia tarjeta, sino también la memoria principal del sistema anfitrión. Los trabajos, agrupados bajo los nombres GDDRHammer y GeForge, sostienen que un usuario sin privilegios que ejecute código sobre la GPU podría llegar a obtener lectura y escritura arbitrarias sobre la memoria de la CPU, con un resultado final equivalente a una toma completa de la máquina.
Lo relevante aquí no es solo que Rowhammer siga vivo más de una década después de su descubrimiento en DRAM tradicional, sino que ahora se desplaza con fuerza hacia el terreno gráfico. El sitio técnico de divulgación de los investigadores, gddr.fail, afirma que ambos equipos lograron corromper tablas de páginas de GPU mediante bit-flips en GDDR6, abriendo el camino hacia el acceso a memoria del host. NVIDIA, por su parte, ya había publicado en julio de 2025 una nota de seguridad reconociendo el riesgo de Rowhammer en productos con determinadas configuraciones de memoria y recordando mitigaciones como ECC a nivel de sistema.
De un fallo de fiabilidad a una vía de escalada total
Según la explicación pública de GDDRHammer, el ataque aprovecha nuevos patrones de hammering y técnicas para sortear mitigaciones internas del dispositivo, logrando un número de bit-flips muy superior al observado en trabajos previos sobre GPU. El equipo asegura haber caracterizado 25 GPU GDDR6, incluyendo modelos profesionales de las familias Ampere y Ada, y describe un fallo en el asignador de memoria por defecto (cudaMalloc) que permitiría romper el aislamiento entre tablas de páginas y datos de usuario dentro de la GPU. Una vez alterada la traducción de direcciones, el atacante podría usar la propia GPU para leer y escribir en toda la memoria de la CPU.
GeForge llega a una conclusión parecida por otra ruta técnica. Su resumen público indica que el ataque corrompe traducciones de tablas de páginas de GPU mediante bit-flips en GDDR6 y que, cuando IOMMU está desactivado, puede extender ese acceso arbitrario a la memoria del host y terminar abriendo una shell con privilegios de root. El propio portal de los investigadores muestra una demostración de explotación y subraya que el objetivo final no es alterar una red neuronal ni degradar el cálculo, sino romper de forma directa la frontera entre GPU y CPU.
A esto se ha sumado además una tercera línea de investigación, GPUBreach, difundida públicamente a través de Ars Technica. En este caso, el enfoque sería distinto: combinar Rowhammer sobre la GPU con fallos de seguridad en el driver de NVIDIA para escalar privilegios incluso cuando IOMMU está activado. Como ese tercer trabajo no aparece desarrollado en detalle en la web técnica de gddr.fail abierta al público, conviene tratarlo con más cautela y como una ampliación adicional reportada por Ars, no como parte del mismo material técnico base.
Qué tarjetas están afectadas de forma confirmada
Aquí conviene separar con cuidado lo demostrado de lo que sigue siendo hipótesis. La web de gddr.fail y la cobertura técnica coinciden en señalar como casos públicamente explotados a la GeForce RTX 3060 y a GPU profesionales/workstation de la familia RTX 6000 / RTX A6000 con GDDR6, especialmente de generación Ampere. La nota de seguridad de NVIDIA de 2025 citó expresamente un ataque potencial contra una NVIDIA A6000 GPU with GDDR6 Memory y explicó que la investigación de la Universidad de Toronto había mostrado mitigación al activar System-Level ECC.
En cambio, no hay la misma evidencia pública para afirmar que todas las GPU NVIDIA modernas sean vulnerables. La propia página de gddr.fail dice que creen que cualquier sistema con una GPU moderna y GDDR6 podría ser susceptible, pero eso no equivale a una lista cerrada de modelos confirmados. También aclara que, por ahora, A100 con HBM2 y H100 con HBM3 no han mostrado vulnerabilidad en sus pruebas, probablemente porque el on-die ECC enmascara flips de un bit, aunque los autores no descartan escenarios futuros con patrones más agresivos.
NVIDIA añade otro matiz importante en su aviso: generaciones de memoria como DDR4, LPDDR5, HBM3 y GDDR7 incorporan On-Die ECC, que aporta protección indirecta frente a Rowhammer. En la lista pública del fabricante aparecen las GeForce RTX 50 series bajo esa cobertura para GDDR7, lo que reduce mucho la tentación de extender esta alarma a tarjetas más nuevas sin datos técnicos que lo respalden. Por eso, a día de hoy, el núcleo del problema público gira sobre todo alrededor de implementaciones con GDDR6, no sobre GDDR6X, GDDR7 o HBM de forma generalizada.
Mitigaciones: ECC e IOMMU, pero con límites
Las dos mitigaciones más repetidas son activar ECC del sistema en la GPU y habilitar IOMMU en BIOS o en la configuración del host. La FAQ de gddr.fail recomienda ECC como solución temporal, aunque recuerda que reduce la memoria utilizable y añade cierta sobrecarga. NVIDIA coincide en ese punto y mantiene que System-Level ECC es una de las defensas recomendadas para reducir o impedir la explotación.
En el caso de IOMMU, los investigadores de GDDRHammer y GeForge lo presentan como una defensa eficaz para limitar qué regiones de memoria del host puede alcanzar la GPU, cerrando la vía principal de acceso CPU-GPU descrita en esos dos ataques. Sin embargo, Ars señala que el tercer trabajo, GPUBreach, habría encontrado una ruta que no depende de que IOMMU esté desactivado, al apoyarse también en errores del driver. Eso significa que IOMMU sigue siendo una medida muy recomendable, pero no debe presentarse ya como una barrera universal contra cualquier variante futura.
La conclusión más sensata no es que haya un pánico inmediato para cualquier usuario doméstico, sino que las GPU compartidas, estaciones de trabajo y entornos cloud con aceleradores reutilizados entre múltiples usuarios tienen ahora un frente adicional de riesgo a vigilar. Y, sobre todo, que las defensas clásicas contra Rowhammer ya no pueden pensarse solo desde la CPU. Los propios autores de GDDRHammer insisten en que cualquier estrategia seria de mitigación tendrá que contemplar también la memoria gráfica.
Preguntas frecuentes
¿Qué GPU NVIDIA están afectadas de forma confirmada por estos ataques?
Las demostraciones públicas se han centrado en la GeForce RTX 3060 y en modelos profesionales/workstation como la RTX 6000 / RTX A6000 con GDDR6, especialmente en la generación Ampere. La investigación sugiere que otras GPU con GDDR6 podrían ser susceptibles, pero no existe una lista oficial cerrada de todos los modelos vulnerables.
¿El problema afecta también a GPU con GDDR7 o HBM?
Con la información pública actual, no hay pruebas equivalentes para afirmar eso. NVIDIA indica que GDDR7 y otras memorias modernas incorporan On-Die ECC, y la web de los investigadores dice que A100 (HBM2) y H100 (HBM3) no mostraron vulnerabilidad en sus pruebas actuales.
¿Activar IOMMU soluciona el problema?
Reduce claramente el riesgo en las cadenas de explotación de GDDRHammer y GeForge, porque limita el acceso de la GPU a la memoria del host. Sin embargo, Ars Technica informa de una tercera variante, GPUBreach, que habría conseguido escalar privilegios incluso con IOMMU activado, por lo que no debe verse como una protección absoluta.
¿Activar ECC en la GPU es una buena idea?
Sí, es una de las mitigaciones más recomendadas tanto por NVIDIA como por los investigadores, pero tiene coste: reduce parte de la memoria utilizable y puede introducir cierta penalización de rendimiento. Además, la propia FAQ de gddr.fail recuerda que existen ataques Rowhammer históricos capaces de superar algunas protecciones ECC en otros contextos.
Fuentes: arstechnica, videocardz y Gddr.fail
