Ir al contenido

 
 

Tecnología Intel® de gestión activa: Última actualización de la Declaración de privacidad: 13/04/2010

Intel Corporation se compromete a proteger su privacidad. En esta declaración se describen las funciones y las prestaciones de carácter privado que se pueden ofrecer con la tecnología Intel® de gestión activa (Intel® AMT), lo que Intel® AMT permite y no permite hacer a los administradores de TI y los tipos de datos que Intel AMT almacena en el sistema del usuario. Esta declaración es complementaria al Aviso de privacidad en línea de Intel y se aplica únicamente a Intel AMT.

¿Qué es Intel AMT?

Intel AMT permite a los administradores de TI autorizados ofrecer asistencia remota fuera de banda (OOB) y gestionar los sistemas informáticos de la red de las empresas.

¿Cuáles son los posibles problemas de privacidad que puede plantear Intel AMT?

Durante mucho tiempo, los departamentos de TI de muchas organizaciones han utilizado las prestaciones de gestión remota que ofrecían los proveedores de software.

Sin embargo, Intel AMT permite a los administradores de TI ofrecer asistencia y gestionar el ordenador del usuario de forma remota, incluso aunque dicho usuario no esté presente o haya apagado el ordenador.

¿Cómo puede saber el usuario si Intel AMT está habilitada en el sistema?

Intel ha desarrollado un icono de estado para ofrecer transparencia y notificaciones al usuario final sobre el estado actual de Intel AMT. Actualmente, el software estándar de Intel AMT incluye el icono de la aplicación Intel® Management and Security Status (IMSS) que se instala junto con los controladores y servicios. El icono IMSS (situado en la bandeja del sistema de E/S) muestra el estado actual de Intel AMT en el sistema (habilitada o deshabilitada) y también proporciona instrucciones sobre cómo habilitar/deshabilitar las prestaciones de Intel AMT. Intel recomienda encarecidamente a los OEM que carguen la aplicación y el icono IMSS, algo que todos los OEM están haciendo actualmente. Sin embargo, en el futuro, los OEM podrán optar por no seguir esta recomendación de Intel y los administradores de TI para usuarios finales también podrán eliminar, si así lo desean, la aplicación antes de ofrecer los sistemas con la tecnología Intel AMT habilitada a los usuarios finales. Los usuarios también podrán consultar el estado de Intel AMT en la configuración de la BIOS de su ordenador. No obstante, es importante señalar que es posible que algunos departamentos de TI de determinadas empresas no otorguen a los usuarios acceso para acceder a la BIOS, el cual es necesario para poder habilitar/deshabilitar Intel AMT o consultar su estado.

¿Qué información personal del usuario recopila Intel AMT?

Intel AMT no recopila ninguna información personal (por ejemplo, nombre, dirección, número de teléfono, etc.) del usuario.

¿Qué tipo de información envía Intel AMT a Intel Corporation y cómo se utiliza la misma?

Intel AMT no envía ninguna información a Intel Corporation.

¿Qué tipo de información almacena Intel AMT?

Intel AMT almacena la información en la memoria flash de la placa base del sistema. Esta información incluye el código del firmware, los datos del inventario de hardware (por ejemplo, el tamaño de la memoria, el tipo de CPU y el tipo de disco duro), un registro de eventos donde se registran los eventos de la plataforma (por ejemplo, el calentamiento de la CPU, los fallos del ventilador y el mensaje POST de la BIOS), los eventos de seguridad de Intel AMT (por ejemplo, una advertencia de ataque a la contraseña de Intel AMT o la activación del filtro System Defense) y los datos de configuración de Intel AMT (por ejemplo, la configuración de la red, las listas de control de acceso y los identificadores únicos universales (UUID), incluyendo los datos de aprovisionamiento, la dirección MAC de la red LAN, las claves, las contraseñas de KVM, los certificados TLS y los perfiles de la red inalámbrica configurada de TI). Todos los datos de configuración considerados confidenciales se almacenan de forma codificada en la memoria flash. En la siguiente sección se ofrece más información sobre los UUID.

Además, Intel AMT también permite a las aplicaciones de los proveedores de software independientes (ISV) registrados almacenar datos en un área de almacenamiento de la memoria flash conocida como almacén de datos de terceros (3PDS). Aunque Intel comunica a sus ISV las prácticas de privacidad que considera mejores para llevar a cabo una gestión de datos responsable, en última instancia, Intel no emite un pronunciamiento sobre qué datos se pueden almacenar en esta área de la memoria flash y no ofrece métodos de codificación para los datos de los ISV. Por lo tanto, se anima a los ISV a codificar sus datos antes de almacenarlos en la memoria flash si consideran que dichos datos son confidenciales. Si le preocupan los riesgos de privacidad que puedan generarse por los datos que se almacenan aquí, póngase en contacto con el desarrollador de software correspondiente para obtener más información sobre el tipo de datos que se almacenan en el área 3PDS y de qué forma se protegen.

¿Cómo utiliza Intel AMT los UUID? ¿Qué funciones permiten y no permiten los UUID en las plataformas con Intel AMT?

Los identificadores únicos universales (UUID) son datos que Intel AMT utiliza para diferentes fines, incluyendo el proceso de aprovisionamiento y la seguridad del sistema (por ejemplo, las contraseñas, las claves y los certificados TLS), y para garantizar que los administradores de TI puedan conectar y gestionar con precisión el sistema de un determinado usuario de una empresa.

Intel no ha creado ningún UUID para permitir el funcionamiento de Intel AMT ni los UUID son una novedad para Intel AMT. Casi todos los ordenadores modernos cuentan con UUID y los OEM suelen instalarlos en todas las plataformas, independientemente de que incorporen o no incorporen la tecnología Intel AMT. De hecho, actualmente, las aplicaciones de muchos ordenadores utilizan los UUID para aislar la información exclusiva del sistema con el fin de ofrecer las funciones esperadas, como las actualizaciones del sistema operativo o del sistema de control de virus. Intel AMT utiliza los UUID de la plataforma de forma muy similar: la principal diferencia es que para permitir a Intel AMT acceder al UUID fuera de banda, el UUID se copia en el almacenamiento de la memoria flash.

Es importante tener en cuenta que Intel no puede utilizar los UUID de los sistemas con tecnología Intel AMT para realizar un seguimiento de los usuarios o de sus ordenadores, ni permiten a Intel acceder a los sistemas de los usuarios de forma ilegítima en la plataforma, así como tampoco permiten a Intel forzar el firmware en la plataforma sin el consentimiento del usuario. Únicamente los administradores de TI autorizados podrán acceder a los UUID que Intel AMT almacena en la memoria flash de una determinada plataforma con tecnología Intel AMT. El departamento de TI de clientes finales configura la lista de administradores de TI autorizados durante un proceso protegido mediante certificados empresariales o presencia física en el sistema con tecnología Intel AMT (a través del menú de la BIOS o un dispositivo USB) para generar confianza y, por tanto, se lleva a cabo únicamente con consolas alojadas en servidores de confianza designados como tales por el departamento de TI de clientes finales. Es decir, ni los UUID ni cualquier otra información puede ser revelada para o por un tercero ajeno al cliente final a través de Intel AMT, a menos que dicho cliente final así lo haya configurado expresamente. Para identificar los administradores autorizados para un sistema determinado, consulte la documentación del kit para desarrolladores de software (SDK) de Intel AMT disponible en softwarecommunity.intel.com/communities/manageability, que ofrece una API para recuperar las ACL o las cuentas autorizadas de Kerberos.

¿Qué tipo de información envía la tecnología Intel® de gestión activa (Intel® AMT) a través de la red?

Intel AMT envía y recibe datos a través de puertos de red predefinidos por IANA: puerto 16992 para SOAP/HTTP, puerto 16993 para SOAP/HTTPS, puerto 16994 para redireccionamiento/TCP y puerto 16995 para redireccionamiento/TLS. Los sistemas compatibles con DASH enviarán y recibirán datos a través de los puertos 623 para HTTP y 664 para HTTPS. La sesión de teclado, vídeo y ratón (KVM) se puede ejecutar a través de los puertos de redireccionamiento (16994 o 16995) o el tradicional puerto RFB (servidor VNC) - 5900. El tipo de información que se envía a través de la red incluye mensajes de respuesta y el comando Intel AMT, el tráfico redireccionado y alertas del sistema. Los datos transmitidos a través de los puertos 16993 y 16995 están protegidos mediante la seguridad de la capa de transporte (TLS), siempre que se haya habilitado dicha opción en el sistema del usuario.

Intel AMT envía datos a través de una red IPV4 o IPV6 y es compatible con las extensiones de privacidad RFC 3041.

¿Qué puede hacer un administrador de TI autentificado con la tecnología Intel AMT?

  • Encender, apagar y reiniciar el sistema de forma remota para solucionar problemas y realizar reparaciones.
  • Solucionar problemas del sistema de forma remota incluso cuando el sistema operativo anfitrión está apagado o dañado.
  • Comprobar y cambiar de forma remota la configuración de la BIOS del sistema. Si la pantalla de la BIOS está protegida por contraseña, lo primero que tendrá que hacer el administrador de TI es recuperar e introducir esta contraseña. (Intel AMT no ofrece la opción de anular la contraseña de la BIOS).
  • Configurar los filtros de tráfico de red para proteger el sistema.
  • Supervisar las aplicaciones registradas que se están ejecutando en el sistema (por ejemplo, el software antivirus que está en ejecución).
  • Recibir alertas generadas por el firmware de Intel AMT que informan sobre los eventos que se producen en el sistema del usuario que pueden requerir asistencia técnica, como por ejemplo: el calentamiento de la CPU, los fallos del ventilador o la activación del filtro System Defense. En www.intel.com/software/manageability hay más ejemplos disponibles públicamente.
  • Solucionar los problemas del sistema del usuario de forma remota redireccionando el proceso de arranque a un disquete, un CD-ROM o una imagen ubicada en el sistema del administrador de TI.
  • Solucionar los problemas del sistema de forma remota redireccionando la entrada del teclado y la salida de vídeo en modo texto de los sistemas del usuario al sistema del administrador de TI.
  • Solucionar los problemas del sistema de forma remota redireccionando el teclado, el vídeo y el ratón hacia y desde los sistemas del usuario y del administrador de TI (redireccionamiento de KVM).
  • Configurar desde qué entornos de red se podrá acceder a las funciones de gestión de Intel AMT (por ejemplo, mediante la definición de dominios de confianza).
  • Utilizar una aplicación de un ISV registrado para escribir/eliminar datos del almacenamiento flash (p. ej., el área 3PDS).
  • Identificar el sistema del usuario en la red empresarial mediante un UUID.
  • Deshabilitar la tecnología AMT y eliminar contenidos flash.
  • Conectar a sistemas de forma remota incluso fuera de la red empresarial utilizando perfiles preconfigurados de acceso remoto iniciado por el cliente (CIRA).
 

¿Permite Intel AMT a un administrador de TI autentificado acceder a los discos duros locales del usuario?

Durante una sesión de gestión remota, el administrador de TI puede acceder a los discos duros locales del usuario. ¿Eso significa que el administrador de TI puede leer/escribir archivos desde el disco duro del usuario, por ejemplo, para reparar el sistema del usuario mediante la recuperación o reinstalación del SO o de una aplicación defectuosa? Intel AMT ofrece dos características que ayudan a reducir los posibles riesgos de privacidad que puedan generarse al ofrecer a los administradores de TI acceso a este tipo de información: IMSS y registro de auditoría. Las prestaciones de registro de auditoría ofrecen una capa de responsabilidad de administrador a través del registro de instancias del acceso del administrador de TI a los sistemas del usuario mediante Intel AMT. Sin embargo, el auditor es quien define los eventos realmente registrados, que en el caso de las empresas, no suele ser el usuario. Aunque Intel recomienda a sus clientes registrar la información relativa al acceso remoto al sistema Intel AMT, es posible que esta información no esté disponible para los usuarios de algunos entornos empresariales. A continuación se proporciona información sobre cómo IMSS ofrece a los usuarios notificaciones de las instancias desde donde los administradores de TI han accedido a su sistema.

¿Permite el redireccionamiento de KVM de Intel AMT a un administrador de TI autentificado controlar el ordenador de un usuario de forma remota como si estuviera físicamente sentado delante del teclado?

Durante una sesión de gestión remota con redireccionamiento de KVM, el administrador de TI controla el ordenador del usuario como si estuviera sentado delante del teclado. Con respecto a la sesión de redireccionamiento de KVM, Intel AMT permite el requisito de no poder iniciar una sesión de KVM sin el consentimiento explícito del usuario (participación en sesión de KVM). Para forzar el consentimiento del usuario para participar en la sesión de redireccionamiento, se muestra una ventana de salida segura ("sprite") en la pantalla del usuario, en la parte superior de cualquiera de las ventanas que tenga abierta, en la que se solicita al usuario que lea en voz alta al administrador de TI un número generado aleatoriamente. Si el administrador de TI escribe el número de sesión correcto, la sesión de KVM se iniciará. Una vez invocada una sesión de KVM válida, toda la pantalla del usuario quedará rodeada por una barra roja, lo cual indica que un administrador de TI está participando en el proceso de una sesión de reparación de KVM. Esta barra roja permanecerá en la pantalla mientras la sesión esté activa.

Dependiendo de la configuración del OEM, las características SOL/IDER o KVM de Intel AMT estarán habilitadas o deshabilitadas en la BIOS. El administrador de TI puede modificar el requisito para participar en una sesión de KVM en las opciones de configuración de la BIOS. Intel recomienda utilizar la obligación de obtener el consentimiento del usuario para mantener su privacidad.

¿Cómo puede saber el usuario si un administrador de TI ha accedido al sistema a través de Intel AMT?

El icono IMSS permite y soporta notificaciones de usuario para diferentes eventos, incluyendo cuando un administrador de TI accede o ha accedido a su sistema durante el inicio/cierre de una sesión de redireccionamiento remota (p. ej., SOL/IDER), así como cuando un administrador de TI activa el filtro System Defense y reinicia el sistema del usuario de forma remota. No obstante, el administrador de TI, y no el usuario, es quien define los eventos realmente permitidos por la aplicación IMSS en un marco empresarial. Aunque Intel recomienda a las empresas que utilizan sistemas Intel AMT que permitan las notificaciones IMSS mencionadas en el presente párrafo, es posible que la información relativa a las conexiones remotas con el sistema Intel AMT no estén necesariamente disponibles para todos los usuarios.

¿Cómo puede un usuario borrar todos los datos privados y la configuración de Intel AMT?

Intel AMT ofrece opciones de BIOS para deshabilitar total o parcialmente el sistema AMT. Intel recomienda a los usuarios finales vaciar todo el sistema antes de revenderlo o reciclarlo y comprobar que AMT está completamente desinstalada cuando adquiera un sistema usado que admita AMT.

Actualizaciones de la Declaración de privacidad

De forma ocasional, podemos actualizar esta Declaración de privacidad. Cuando lo hagamos, modificaremos la fecha de la última actualización que figura al principio de la Declaración de privacidad.

Para más información

Si desea formular alguna pregunta u obtener más información sobre este suplemento de privacidad, utilice este formulario para ponerse en contacto con nosotros.