AMD ha confirmado oficialmente la existencia de una vulnerabilidad crítica en la instrucción RDSEED de sus procesadores basados en la arquitectura Zen 5, que podría afectar la generación segura de números aleatorios a nivel de hardware. Este tipo de fallo tiene implicaciones directas en la seguridad criptográfica y en la integridad de los sistemas que dependen de dicha instrucción para generar claves o tokens impredecibles.
Según el boletín de seguridad AMD-SB-7055, el error se origina en el manejo inadecuado de entropía dentro de RDSEED, lo que permite que, en ciertos casos, devuelva valores insuficientemente aleatorios o incluso el valor cero, a pesar de indicar éxito en la ejecución. En palabras de la propia AMD, “un atacante local podría influir en los valores devueltos, comprometiendo potencialmente la calidad de la aleatoriedad utilizada en operaciones de seguridad”.
El problema afecta únicamente a las versiones de 16 y 32 bits de la instrucción RDSEED, mientras que la versión de 64 bits permanece libre de vulnerabilidad. Por ello, la compañía recomienda que los desarrolladores y usuarios que dependan de esta función opten temporalmente por dicha variante o recurran a soluciones de generación aleatoria basadas en software hasta que se publique un parche definitivo.
Procesadores afectados y calendario de mitigación
AMD ha confirmado que la vulnerabilidad está presente en la mayoría de sus CPU Zen 5 de escritorio, portátiles, estaciones de trabajo y servidores. Entre las familias afectadas se encuentran:
- AMD EPYC 9005 y EPYC Embedded 9005 / 4005
- Ryzen 9000 (Desktop) y Ryzen 9000HX (portátiles)
- Ryzen AI 300, AI Max 300, AI Z2 Extreme
- Ryzen Threadripper 9000 y Threadripper PRO 9000 WX-Series
- Ryzen Embedded 9000
El despliegue de soluciones se realizará de forma escalonada hasta enero de 2026.
- Los procesadores EPYC 9005 recibirán una primera actualización de microcódigo a mediados de noviembre.
- Las series Ryzen 9000 y AI 300 contarán con mitigaciones hacia finales de noviembre.
- En el caso de las gamas Embedded, la corrección está prevista para enero de 2026.
Recomendaciones de seguridad
Hasta la llegada de las actualizaciones oficiales, AMD aconseja utilizar la versión de 64 bits de RDSEED siempre que sea posible, o implementar verificaciones adicionales para descartar valores inválidos. En entornos virtualizados, también se sugiere bloquear la instrucción afectada mediante parámetros de arranque o emplear alternativas controladas por software para garantizar una entropía adecuada.
Un nuevo aviso para la industria del hardware
No es la primera vez que AMD se enfrenta a vulnerabilidades de seguridad este año. En junio, la compañía tuvo que parchear un fallo en el módulo TPM que afectaba a procesadores Ryzen desde las series 3000 hasta las 9000, y en agosto se reveló un problema en la tecnología SEV-SNP de los chips EPYC de tercera y cuarta generación.
Con este nuevo incidente, AMD refuerza su compromiso de mantener la transparencia y ofrecer parches rápidos, aunque el fallo RDSEED subraya una vez más la complejidad y los riesgos inherentes a los sistemas de aleatoriedad por hardware, esenciales para la ciberseguridad moderna.
