Ir al contenido

• Inicio
• Tecnología
• Tecnologías de productos
• Empresas
• Tecnología Intel® de gestión activa

Tecnología Intel® de gestión activa: Última actualización de la Declaración de privacidad: 08/12/2021

Intel Corporation se compromete a proteger su privacidad. En esta declaración se describen las funciones y las prestaciones de carácter privado que se pueden ofrecer con la tecnología Intel® de gestión activa (Intel® AMT), lo que Intel AMT permite y no permite hacer a los administradores de TI y los tipos de datos que Intel AMT almacena en el sistema del usuario. Esta declaración es complementaria al Aviso de privacidad en línea de Intel y se aplica únicamente a Intel AMT.

¿Qué es Intel AMT?

Intel AMT permite a los administradores de TI autorizados ofrecer asistencia remota fuera de banda (OOB) y gestionar los sistemas informáticos de la red de las empresas.

¿Cuáles son los posibles problemas de privacidad que puede plantear Intel AMT?

Durante mucho tiempo, los departamentos de TI de muchas organizaciones han utilizado las prestaciones de gestión remota que ofrecían los proveedores de software.

Sin embargo, Intel AMT permite a los administradores de TI ofrecer asistencia y gestionar el ordenador del usuario de forma remota, incluso aunque dicho usuario no esté presente o haya apagado el ordenador.

¿Cómo puede saber el usuario si Intel AMT está habilitada en el sistema?

Intel ha desarrollado un icono de la bandeja del sistema para ofrecer transparencia y notificaciones al usuario final sobre el estado actual de Intel AMT. Actualmente, el software estándar de Intel AMT incluye el icono de la bandeja del sistema y la aplicación Intel® Management and Security Status (IMSS) que se instala junto con los controladores y servicios. El icono de la bandeja del sistema de IMSS muestra el estado actual de Intel AMT en el sistema (habilitada o deshabilitada) y también proporciona instrucciones sobre cómo habilitar/deshabilitar las prestaciones de Intel AMT. Intel recomienda a todos los fabricantes de equipos originales (OEM) cargar la aplicación IMSS. Sin embargo, los OEM podrán optar por no seguir esta recomendación de Intel y los administradores de TI para usuarios finales también podrán eliminar, si así lo desean, la aplicación IMSS antes de ofrecer los sistemas con la tecnología Intel AMT habilitada a los usuarios finales. Dependiendo de la implementación de los OEM, los usuarios también podrán consultar el estado de Intel AMT en la BIOS del sistema de su ordenador. No obstante, es importante señalar que es posible que algunos departamentos de TI de determinadas empresas no otorguen a los usuarios acceso para acceder a la BIOS del sistema, el cual es necesario para poder habilitar/deshabilitar Intel AMT o consultar su estado.

¿Qué información personal del usuario recopila Intel AMT?

Intel AMT no recopila ninguna información personal (por ejemplo, nombre, dirección, número de teléfono, etc.) del usuario.

¿Qué tipo de información envía Intel AMT a Intel Corporation y cómo se utiliza la misma?

Intel AMT no envía ninguna información a Intel Corporation.

¿Qué tipo de información almacena Intel AMT?

Intel AMT almacena la información en la memoria flash de la placa base del sistema. Esta información incluye el código del firmware, los datos del inventario de hardware (por ejemplo, el tamaño de la memoria, el tipo de CPU y el tipo de disco duro), un registro de eventos donde se registran los eventos de la plataforma (por ejemplo, el calentamiento de la CPU, los fallos del ventilador y el mensaje POST de la BIOS), los eventos de seguridad de Intel AMT (por ejemplo, una advertencia de ataque a la contraseña de Intel AMT o la activación del filtro System Defense) y los datos de configuración de Intel AMT (por ejemplo, la configuración de la red, las listas de control de acceso y los identificadores únicos universales (UUID), incluyendo los datos de aprovisionamiento, la dirección MAC de la red LAN, las claves, las contraseñas de teclado, vídeo y ratón (KVM), los certificados de seguridad de la capa de transporte (TLS) y los perfiles de la red inalámbrica configurada de TI). Todos los datos de configuración considerados confidenciales se almacenan de forma codificada en la memoria flash. En la siguiente sección se ofrece más información sobre los UUID.

Las versiones 11.0 y anteriores de Intel AMT permiten a las aplicaciones de los proveedores de software independientes (ISV) registrados almacenar datos en un área de almacenamiento de la memoria flash conocida como almacén de datos de terceros (3PDS). A partir de la versión 11.6 de Intel AMT, se sustituyó esta característica por el alojamiento de aplicaciones web, que permite a Intel AMT alojar aplicaciones web en la memoria no volátil (NVM) que Intel AMT gestiona localmente en la plataforma del cliente.

Aunque Intel comunica a sus ISV las prácticas de privacidad que considera mejores para llevar a cabo una gestión de datos responsable, en última instancia, Intel no emite un pronunciamiento sobre qué datos se pueden almacenar en esta área de la memoria flash y no ofrece métodos de codificación para los datos de los ISV. Por lo tanto, se anima a los ISV a codificar sus datos antes de almacenarlos en la memoria flash si consideran que dichos datos son confidenciales. Si le preocupan los riesgos de privacidad que puedan generarse por los datos que se almacenan aquí, póngase en contacto con el desarrollador de software correspondiente para obtener más información sobre el tipo de datos y aplicaciones web que se almacenan en el NVM y de qué forma se protegen.

¿Cómo utiliza Intel AMT los UUID? ¿Qué funciones permiten y no permiten los UUID en las plataformas con Intel AMT?

Los identificadores únicos universales (UUID) son datos que Intel AMT utiliza para diferentes fines, incluyendo el proceso de aprovisionamiento y la seguridad del sistema (por ejemplo, las contraseñas, las claves y los certificados TLS), y para garantizar que los administradores de TI puedan conectar y gestionar con precisión el sistema de un determinado usuario de una empresa.

Las plataformas Intel VPRO se envían con un UUID persistente llamado Intel Unique Platform ID (UPID) para habilitar casos de uso que requieren un UUID persistente, como aprovisionamiento sin contacto. La funcionalidad UPID depende de la implementación del OEM. Casi todos los ordenadores modernos cuentan con UUID y los OEM suelen instalarlos en todas las plataformas, independientemente de que incorporen o no incorporen la tecnología Intel AMT. De hecho, actualmente, las aplicaciones de muchos ordenadores utilizan los UUID para aislar la información exclusiva del sistema con el fin de ofrecer las funciones esperadas, como las actualizaciones del SO o del sistema de control de virus. Intel AMT utiliza los UUID de la plataforma de forma muy similar: la principal diferencia es que para permitir a Intel AMT acceder al UUID fuera de banda, el UUID se copia en el almacenamiento de la memoria flash.

Es importante señalar que Intel no puede utilizar los UUID en sistemas con Intel AMT, incluyendo el UPID, para rastrear a los usuarios o sus ordenadores. Tampoco permiten el acceso de Intel a los sistemas del usuario mediante una puerta trasera hacia la plataforma, ni permiten que Intel instale a la fuerza el firmware en la plataforma sin el consentimiento del usuario. Únicamente los administradores de TI autorizados podrán acceder a los UUID que Intel AMT almacena en la memoria flash de una determinada plataforma con tecnología Intel AMT. El departamento de TI de clientes finales configura la lista de administradores de TI autorizados durante un proceso protegido mediante certificados empresariales o presencia física en el sistema con tecnología Intel AMT (a través del menú de la BIOS o un dispositivo USB) para generar confianza y, por tanto, se lleva a cabo únicamente con consolas alojadas en servidores de confianza designados como tales por el departamento de TI de clientes finales. Es decir, ni los UUID ni cualquier otra información puede ser revelada para o por un tercero ajeno al cliente final a través de Intel AMT, a menos que dicho cliente final así lo haya configurado expresamente. Para identificar los administradores autorizados para un sistema determinado, consulte la documentación del kit para desarrolladores de software (SDK) de Intel AMT disponible en https://software.intel.com/en-us/business-client/manageability, que ofrece una API para recuperar las ACL o las cuentas autorizadas de Kerberos.

¿Qué tipo de información envía la tecnología Intel® de gestión activa (Intel® AMT) a través de la red?

Intel AMT envía y recibe datos a través de puertos de red predefinidos por IANA: puerto 16992 para SOAP/HTTP, puerto 16993 para SOAP/HTTPS, puerto 16994 para redireccionamiento/TCP y puerto 16995 para redireccionamiento/TLS. Los sistemas compatibles con DASH enviarán y recibirán datos a través de los puertos 623 para HTTP y 664 para HTTPS. La sesión de teclado, vídeo y ratón (KVM) se puede ejecutar a través de los puertos de redireccionamiento (16994 o 16995) o el tradicional puerto RFB (servidor VNC) - 5900. El tipo de información que se envía a través de la red incluye mensajes de respuesta y el comando Intel AMT, el tráfico redireccionado y alertas del sistema. Los datos transmitidos a través de los puertos 16993 y 16995 están protegidos mediante la seguridad de la capa de transporte (TLS), siempre que se haya habilitado dicha opción en el sistema del usuario.

Intel AMT envía datos a través de una red IPV4 o IPV6 y es compatible con las extensiones de privacidad RFC 3041.

¿Qué información identificable expone la tecnología Intel® de gestión activa (Intel® AMT) en la red?

Aunque Intel® AMT esté habilitada, los puertos abiertos presentarán información que otros en la misma red podrían utilizar para identificar al ordenador. Esto incluye el certificado HTTPS, HTTP digest realm, la versión de Intel AMT y otra información que podría utilizarse para realizar una huella dactilar del ordenador. Esta información se proporciona como parte de las operaciones normales de protocolos que respalda Intel® AMT. El cortafuegos de un sistema operativo no bloqueará el acceso a los puertos de Intel® AMT. Sin embargo, los administradores pueden utilizar Environment Detection and Fast Call for Help (CIRA) para cerrar los puertos locales de Intel® AMT y limitar el acceso a esta información.

¿Qué puede hacer un administrador de TI autentificado con la tecnología Intel AMT?

• Encender, apagar y reiniciar el sistema de forma remota para solucionar problemas y realizar reparaciones.
• Solucionar problemas del sistema de forma remota incluso cuando el SO anfitrión está apagado o dañado.
• Comprobar y cambiar de forma remota la configuración de la BIOS del sistema. La tecnología Intel AMT tiene la opción de permitir que un administrador de TI elimine la contraseña de la BIOS, pero no todos los OEM implementan esta característica.
• Configurar los filtros de tráfico de red para proteger el sistema.
• Supervisar las aplicaciones registradas que se están ejecutando en el sistema (por ejemplo, el software antivirus que está en ejecución).
• Recibir alertas generadas por el firmware de Intel AMT que informan sobre los eventos que se producen en el sistema del usuario que pueden requerir asistencia técnica, como por ejemplo: el calentamiento de la CPU, los fallos del ventilador o la activación del filtro System Defense. Hay más ejemplos públicamente disponibles en www.intel.com/software/manageability.
• Solucionar los problemas del sistema del usuario de forma remota redireccionando el proceso de arranque a un disquete, un CD-ROM o una imagen ubicada en el sistema del administrador de TI.
• Solucionar los problemas del sistema de forma remota redireccionando la entrada del teclado y la salida de vídeo en modo texto de los sistemas del usuario al sistema del administrador de TI.
• Solucionar los problemas del sistema de forma remota redireccionando el teclado, el vídeo y el ratón hacia y desde los sistemas del usuario y del administrador de TI (redireccionamiento de KVM).
• Configurar desde qué entornos de red se podrá acceder a las funciones de gestión de Intel AMT (por ejemplo, mediante la definición de dominios de confianza).
• Utilizar una aplicación de un ISV registrado para escribir/eliminar datos del almacenamiento flash (p. ej., el área 3PDS).
• Alojar aplicaciones web en la memoria no volátil (NVM) que Intel AMT gestiona localmente en la plataforma del cliente (Intel AMT 11.6 y posteriores).
• Identificar el sistema del usuario en la red empresarial mediante un UUID.
• Deshabilitar la tecnología Intel AMT y eliminar contenidos flash.
• Conectar a sistemas de forma remota incluso fuera de la red empresarial utilizando perfiles preconfigurados de acceso remoto iniciado por el cliente (CIRA).

¿Permite Intel AMT a un administrador de TI autentificado acceder a los discos duros locales del usuario?

Durante una sesión de gestión remota, el administrador de TI puede acceder a los discos duros locales del usuario. ¿Eso significa que el administrador de TI puede leer/escribir archivos desde el disco duro del usuario, por ejemplo, para reparar el sistema del usuario mediante la recuperación o reinstalación del SO o de una aplicación defectuosa? Intel AMT ofrece dos características que ayudan a reducir los posibles riesgos de privacidad que puedan generarse al ofrecer a los administradores de TI acceso a este tipo de información: IMSS y registro de auditoría. Las prestaciones de registro de auditoría ofrecen una capa de responsabilidad de administrador a través del registro de instancias del acceso del administrador de TI a los sistemas del usuario mediante Intel AMT. Sin embargo, el auditor es quien define los eventos realmente registrados, que en el caso de las empresas, no suele ser el usuario. Aunque Intel recomienda a sus clientes registrar la información relativa al acceso remoto al sistema Intel AMT, es posible que esta información no esté disponible para los usuarios de algunos entornos empresariales. A continuación se proporciona información sobre cómo IMSS ofrece a los usuarios notificaciones de las instancias desde donde los administradores de TI han accedido a su sistema.

¿Permite el redireccionamiento de KVM de Intel AMT a un administrador de TI autentificado controlar el ordenador de un usuario de forma remota como si estuviera físicamente sentado delante del teclado?

Durante una sesión de gestión remota con redireccionamiento de KVM, el administrador de TI controla el ordenador del usuario como si estuviera sentado delante del teclado. Con respecto a la sesión de redireccionamiento de KVM, Intel AMT permite el requisito de no poder iniciar una sesión de KVM sin el consentimiento explícito del usuario, conocido como el consentimiento del usuario de KVM. Para forzar el consentimiento del usuario para participar en la sesión de redireccionamiento, se muestra una ventana de salida segura ("sprite") en la pantalla del usuario, en la parte superior de cualquiera de las ventanas que tenga abierta, en la que se solicita al usuario que lea en voz alta al administrador de TI un número generado aleatoriamente. Si el administrador de TI escribe el número de sesión correcto, la sesión de KVM se iniciará. Una vez invocada una sesión de KVM válida, toda la pantalla del usuario quedará rodeada por un borde rojo y amarillo intermitente, lo cual indica que un administrador de TI está participando en el proceso de una sesión de reparación de KVM. Este borde rojo y amarillo intermitente permanecerá en la pantalla mientras la sesión esté activa. Tenga en cuenta que el consentimiento del usuario de KVM es obligatorio cuando el sistema de Intel AMT está en modo de control de cliente, pero es opcional cuando se encuentra en modo de control de administración.

Dependiendo de la configuración del OEM, las características SOL/IDER o KVM de Intel AMT estarán habilitadas o deshabilitadas en la BIOS o la Intel® Management Engine BIOS Extension (Intel® MEBX). El administrador de TI puede modificar el requisito para participar en una sesión de KVM en las opciones de configuración de la BIOS o Intel ATM. Intel recomienda utilizar la obligación de obtener el consentimiento del usuario para mantener su privacidad.

¿Cómo puede saber el usuario si un administrador de TI ha accedido al sistema a través de Intel AMT?

El icono de la bandeja del sistema de IMSS permite y soporta notificaciones de usuario para diferentes eventos, incluyendo cuando un administrador de TI accede o ha accedido a su sistema durante el inicio/cierre de una sesión de redireccionamiento remota (p. ej., SOL/IDER), así como cuando un administrador de TI activa el filtro System Defense y reinicia el sistema del usuario de forma remota. Además, aparecerá un icono intermitente en la parte superior derecha de la pantalla durante una sesión de redireccionamiento remota activa. No obstante, el administrador de TI, y no el usuario, es quien define los eventos realmente permitidos por la aplicación IMSS en un marco empresarial. Aunque Intel recomienda a las empresas que utilizan sistemas Intel AMT que permitan las notificaciones IMSS mencionadas en el presente párrafo, es posible que la información relativa a las conexiones remotas con el sistema Intel AMT no estén necesariamente disponibles para todos los usuarios.

¿Cómo puede un usuario borrar todos los datos privados y la configuración de Intel AMT?

Intel AMT ofrece opciones de BIOS para deshabilitar total o parcialmente el sistema Intel AMT. Intel recomienda a los usuarios finales vaciar todo el sistema antes de revenderlo o reciclarlo y comprobar que Intel AMT está completamente desinstalada cuando adquiera un sistema usado que admita Intel AMT.

Actualizaciones de la Declaración de privacidad

De forma ocasional, podemos actualizar esta Declaración de privacidad. Cuando lo hagamos, modificaremos la fecha de la última actualización que figura al principio de la Declaración de privacidad.

Para más información

Si desea formular alguna pregunta u obtener más información sobre este suplemento de privacidad, utilice este formulario para ponerse en contacto con nosotros.