Los beepers explosivos de Israel transformaron el mundo
NUEVA YORK.- Los flagrantes ataques de Israel contra Hezbollah de la semana pasada, cuando...
NUEVA YORK.- Los flagrantes ataques de Israel contra Hezbollah de la semana pasada, cuando estallaron cientos de beepers y handies que terminaron con la vida de al menos 37 personas, son un ejemplo concreto de la amenaza sobre la que venimos advirtiendo los expertos en ciberseguridad desde hace años: que las cadenas de suministros internacionales de dispositivos electrónicos nos dejan en situación de vulnerabilidad, y que no tenemos una manera real de defendernos.
Por sorprendente que haya sido el mortal operativo israelí, ninguno de los elementos que usaron para llevarlo a cabo son particularmente novedosos. La táctica empleada por Israel —que no negó ni confirmó su participación en los ataques— para introducirse subrepticiamente en la cadena de suministros internacional e implantar explosivos plásticos en los dispositivos de Hezbollah es un método que se utiliza desde hace años. Lo novedoso del ataque de Israel es su alcance y su flagrancia pública, dejando expuesto en toda su crudeza cómo será en el futuro la competencia entre las superpotencias, en tiempos de paz, en tiempos de guerra, y también en ese zona gris intermedia que se está ensanchando cada vez más.
Y en ese escenario, el blanco no serán solo los terroristas: nuestras computadoras domésticas son vulnerables, y cada vez más, al igual que nuestros autos, heladeras, y hasta los termostatos y otros artefactos que manipulamos todo el tiempo y que nos facilitan la vida. Los objetos eventualmente explosivos son ubicuos y nos convierten a todos en blancos potenciales.
El elemento central de la operación —implantar explosivos plásticos en beepers y handies— es un riesgo terrorista desde 2001, cuando Richard Reid, más conocido como “Shoe Bomber”, intentó hacer estallar un par de zapatos en un avión en vuelo de París a Miami. Hasta ahí llega todo lo que esos escáneres de aeropuerto están diseñados para detectar, tanto los que se ven en los controles de seguridad como los que luego escanean su equipaje. Hasta una mínima cantidad de explosivo puede causar un desastre impresionante.
El segundo elemento de la operación israelí —matar a una personas a través de un dispositivo personal—, tampoco es nuevo. Israel utilizó esa táctica contra un fabricante de bombas de Hamas en 1996 y contra un activista de Fatah en 2000: ambos fueron asesinados por teléfonos celulares con trampas cazabobos detonadas a distancia.
La parte final y logísticamente más compleja del plan de Israel —penetrar una cadena internacional de suministros para adulterar equipos a gran escala— es algo que Estados Unidos también ha hecho, aunque con fines diferentes. La Agencia de Seguridad Nacional (NSA) ha interceptado equipos de comunicaciones que se encontraban en tránsito en Estados Unidos para modificarlos, no con fines destructivos, sino de espionaje. Por uno de los documentos filtrados por el “topo” Edward Snowden, sabemos que la NSA lo hizo con un router marca Cisco destinado a una empresa de telecomunicaciones siria, y es totalmente verosímil pensar que no fue la única vez que lo hicieron.
Ni siquiera es una novedad la creación de una empresa fantasma para confundir a las víctimas. Según se informa, Israel creó una empresa fachada para producir y venderle dispositivos explosivos a Hezbollah. Pero ya en 2019 el FBI había creado una empresa que vendía celulares supuestamente seguros a los delincuentes, no para asesinarlos, sino para espiarlos y luego arrestarlos.
En resumen: las cadenas globales de suministro son vulnerables, lo que implica que nosotros somos vulnerables. Cualquier individuo, de cualquier país o cualquier grupo, que integre o participe de las cadena de suministro de alta tecnología tiene la posibilidad de adulterar el equipo que pasa por sus manos. Podría alterarlo para espiar, podría adulterarlo para que se descomponga o falle al recibir una orden remota. Y aunque es más difícil, también podría modificarlo para convertirlo en un arma mortal.
El mayor riesgo lo corren los dispositivos personales conectados a Internet, y los países en donde su uso es generalizado, como Estados Unidos... En 2007, el Laboratorio Nacional de Idaho demostró que un ciberataque podía hacer explotar un generador de alto voltaje. En 2010, un virus informático al parecer desarrollado conjuntamente por Estados Unidos e Israel descompuso las centrifugadoras de una instalación nuclear iraní. En 2017, una filtración de documentos de la CIA reveló conversaciones sobre la posibilidad de hackear automóviles de forma remota, que según WikiLeaks podrían utilizar para llevar a cabo “asesinatos casi indetectables”. Y no es solo una teoría: en 2015, un periodista de Wired hizo la prueba y permitió que piratas informáticos tomaran el control remoto de su automóvil mientras manejaba: lograron apagarle el motor mientras circulaba por una autopista.
El mundo ya ha comenzado a adaptarse para esta amenaza. Muchos países son cada vez más cautos a la hora de comprarles equipos de comunicaciones a países en los que no confían. Estados Unidos y otros países están prohibiendo los grandes routers de la empresa china Huawei porque temen que puedan usarse para espiar, o peor aún, desactivarse de forma remota si crecen las hostilidades. En 2019, hubo una pequeña ola de pánico ante la posibilidad de que los vagones de subte fabricados en China hubiesen sido modificados para espiar a los pasajeros.
Y los que están bajo la lupa no son solamente los ya equipos terminados. Hace más de una década, el ejército norteamericano analizó los riesgos de seguridad que implicaba el uso de piezas chinas en sus equipos. En 2018, un informe de Bloomberg reveló que los investigadores norteamericanos habían acusado a China de modificar chips de computadora para robar información.
No hay maneras obvias de defenderse de este tipo de ataques. Nuestras cadenas de suministro de alta tecnología son complejas, intrincadas e internacionales. A Hezbollah no le sorprendió que los beepers del grupo vinieran de una empresa con sede en Hungría que a su vez se los compraba a Taiwán, porque en el comercio global actual, ese tipo de situaciones son perfectamente normales. La mayoría de los aparatos electrónicos que se venden en Estados Unidos vienen del extranjero, incluidos los iPhones, cuyas piezas provienen de docenas de países, para luego ser ensamblados básicamente en China.
El problema es difícil de solucionar. Sería inimaginable que Washington apruebe una ley que obligue a que los iPhones se fabriquen íntegramente en Estados Unidos, donde los costos laborales son demasiado altos y el país no tiene capacidad doméstica para fabricar esos artículos. Nuestras cadenas de suministro son profunda e inexorablemente internacionales, y para cambiar eso la economía global debería retrotraerse a la década de 1980.
¿Cómo sigue la historia? En cuanto a Hezbollah, sus líderes y agentes ya no podrán confiar en ningún dispositivo conectado a una red, que muy probablemente haya sido uno de los objetivos principales de los ataques. Y el mundo tendrá que esperar para ver si el ataque de Israel tiene efectos a largo plazo, o cómo responderá el grupo terrorista.
Pero ahora que se cruzó esa línea, sin duda otros países empezarán a considerar que esas tácticas están dentro de los límites de lo permitido. Podrían aplicarlas contra un ejército enemigo durante un conflicto bélico, o contra civiles en la fase previa de una guerra. Y los más vulnerables serán los países desarrollados, como Estados Unidos, simplemente por la abrumadora cantidad de dispositivos vulnerables que manejan sus habitantes.
Por Bruce Schneier (tecnólogo en seguridad y disertante de la Escuela Kennedy de la Universidad de Harvard)
Traducción de Jaime Arrambide