Cuando pensamos en vulnerabilidades de seguridad, solemos imaginar bugs en código, configuraciones erróneas o exploits sofisticados. Pero ¿qué pasaría si te dijera que la vulnerabilidad más fundamental de todos los sistemas informáticos modernos está en su diseño arquitectónico básico, implementado hace más de 75 años?

La arquitectura von Neumann: un diseño brillante con una falla fatal

La arquitectura von Neumann, propuesta por John von Neumann en 1945, revolucionó la computación al introducir el concepto de programa almacenado: tanto los datos como las instrucciones residen en la misma memoria. Esta elegante simplicidad permitió la flexibilidad computacional que conocemos hoy, pero también introdujo una vulnerabilidad fundamental que persiste en cada procesador moderno.

El problema: datos ejecutables y código modificable

En la arquitectura von Neumann, la CPU no distingue inherentemente entre datos y código. Ambos son simplemente secuencias de bits en memoria. Esta indistinción es la raíz de innumerables clases de vulnerabilidades:

• Buffer overflows: sobrescribir datos hasta alcanzar direcciones de retorno
• Code injection: inyectar código malicioso en regiones de datos
• ROP (Return-Oriented Programming): encadenar fragmentos de código legítimo
• Use-after-free: explotar memoria liberada que contiene punteros

Todas estas técnicas de explotación se aprovechan del mismo principio: la memoria que debería contener solo datos puede ser interpretada como código ejecutable.

CVE-2021-32471: una vulnerabilidad teórica que lo ejemplifica

Aunque suene extraño, existe un CVE que documenta una vulnerabilidad en la implementación de la máquina de Turing: CVE-2021-32471. Este CVE teórico es fascinante porque señala un punto crítico: si incluso el modelo computacional más abstracto puede tener vulnerabilidades documentadas cuando se implementa, ¿qué dice esto sobre las arquitecturas reales?

El CVE-2021-32471 ilustra que el problema no es solo de implementación, sino conceptual. La capacidad de una máquina de Turing para modificar su propia cinta (esencialmente, su memoria) es análoga a cómo la arquitectura von Neumann permite que los programas modifiquen el espacio de memoria compartido entre datos y código.

Mitigaciones modernas: parches sobre el diseño fundamental

La industria ha desarrollado numerosas defensas:

• DEP/NX (Data Execution Prevention): marca regiones de memoria como no ejecutables
• ASLR (Address Space Layout Randomization): aleatoriza direcciones de memoria
• Stack canaries: detecta corrupción de pila
• Control-Flow Integrity (CFI): valida transiciones de flujo de control

Pero todas estas son mitigaciones, no soluciones. Son intentos de añadir separación artificial entre código y datos en una arquitectura que fue diseñada específicamente para no tenerla.

Arquitecturas alternativas: ¿el futuro de la seguridad?

La arquitectura Harvard, que separa físicamente la memoria de instrucciones y datos, evita muchos de estos problemas pero sacrifica flexibilidad. Algunos sistemas embebidos críticos la utilizan precisamente por sus propiedades de seguridad.

Investigaciones más recientes exploran:

• Arquitecturas con capacidades (CHERI): hardware que rastrea y restringe el uso de punteros
• Ejecución segura basada en hardware: Intel SGX, ARM TrustZone
• Computación morfológica: procesadores que pueden reconfigurar su arquitectura

Conclusión: viviendo con el pecado original

La arquitectura von Neumann es el “pecado original” de la seguridad informática. No es un bug que pueda ser parcheado, es una característica fundamental del diseño. Cada exploit exitoso, cada RCE (Remote Code Execution), cada escalación de privilegios basada en corrupción de memoria, es un recordatorio de esta verdad incómoda.

El CVE-2021-32471, aunque teórico, nos recuerda que las vulnerabilidades pueden existir en los niveles más abstractos de la computación. Mientras sigamos usando arquitecturas donde código y datos comparten el mismo espacio sin distinción fundamental, seguiremos construyendo castillos sobre arena.

La próxima vez que veas un CVE de buffer overflow, recuerda: no es solo un error de programación. Es una consecuencia inevitable de una decisión de diseño tomada en 1945, cuando la seguridad informática ni siquiera era un concepto.

Referencias

• First Draft of a Report on the EDVAC. MIT. – https://web.mit.edu/STS.035/www/PDFs/edvac.pdf (Recuperado el 13 de noviembre de 2025)
• CVE-2021-32471 – https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32471 (Recuperado el 13 de noviembre de 2025)
• Intrinsic Propensity for Vulnerability in Computers? Arbitrary Code Execution in the Universal Turing Machine. Cornell University. – https://arxiv.org/abs/2105.02124 (Recuperado el 13 de noviembre de 2025)
• Software Memory Safety. NSA. – https://media.defense.gov/2022/Nov/10/2003112742/-1/-1/0/CSI_SOFTWARE_MEMORY_SAFETY.PDF (Recuperado el 13 de noviembre de 2025)
• Trends, challenges, and strategic shifts in the software vulnerability mitigation landscape. Microsoft. – https://github.com/microsoft/MSRC-Security-Research/blob/master/presentations/2019_02_BlueHatIL/2019_01%20-%20BlueHatIL%20-%20Trends%2C%20challenge%2C%20and%20shifts%20in%20software%20vulnerability%20mitigation.pdf (Recuperado el 13 de noviembre de 2025)