Agresiones físicas mediante registros y walkie talkie en manos de miembros de la banda Hezbolá han provocado sorpresa y debate en la comunidad tecnológica. En primer lugar estaba la cuestión de cómo organizar una operación de esta escala. Ahora que ha pasado un poco más de tiempo, surge la pregunta de qué significa todo esto para las regiones en conflicto, para los países occidentales actualmente libres de conflictos y para el futuro de la fabricación de dispositivos conectados.
1. ¿Qué miedo deberías tener?
Depende de tu lugar de residencia. En países sin conflictos potenciales, es poco probable que se produzca una operación de esta magnitud, incluso a pequeña escala. Sobre todo porque requiere de un tipo de preparación y logística que permita el acceso físico a miles de dispositivos con un destino específico.
En países donde un adversario potencial tiene la capacidad de acceder a miles de dispositivos, el nivel de miedo puede variar. Cualquier dispositivo conectado puede llevar en su interior un tipo de explosivo que puede activarse de forma remota. Esto, por supuesto, implica muchos debates éticos y legales sobre los civiles en conflicto, pero técnicamente nada impide que este nuevo tipo de “arma” se vuelva a utilizar. “Entiendo que en un país en conflicto uno se vuelve paranoico con todos los dispositivos. Ya ha pasado con quienes lo utilizan para comunicarse porque evitan el teléfono”, explica Pedro Peris, profesor de la Universidad Carlos III y miembro de la red BBVA Leonardo. Pero puede ocurrir con muchos otros dispositivos.
Habiendo crecido durante tiempos de guerra en Beirut, puedo decirles que Oriente Medio es un campo de pruebas global para nuevas armas. Las consecuencias de este ataque de buscapersonas en el Líbano deberían provocar escalofríos en cualquiera que preste atención.
—Peter Daou (@peterdaou) 17 de septiembre de 2024
2. A qué no debes temer
De la batería del dispositivo. “Debe quedar claro que sin una manipulación física del dispositivo, lo que hicieron (contra Hezbolá) no se puede hacer”, resume Peris. “Con una batería, no importa cuánto la calientes, no obtendrás algo así. No habrá un ataque con la batería ni siquiera dirigido contra un objetivo: aunque podrías realizar un ataque donde la batería se sobrecaliente y cause algún daño, pero no sería lo mismo y te darías cuenta de que se está poniendo maldito. hace calor y lo tirarías por la ventana», añade.
Sin manipulación previa del dispositivo no se produce ninguna explosión. Incluso la manipulación tuya softwarepara poder planificar o preparar la explosión. Para ello hay que fabricarlo o interceptarlo.
3. ¿Cuál fue la mayor sorpresa?
La cadena de suministro es el proceso en el que varios proveedores (o solo uno) juntan piezas para producir un dispositivo. Los militares son muy conscientes de que no se debe permitir que rivales potenciales produzcan sus radares o armas.
Con el software Lo cierto es lo contrario: hemos acordado no darle demasiada importancia al hecho de que en nuestros dispositivos estén preinstalados programas dudosos. “Hasta ahora sabíamos que la cadena de suministro es fundamental. Pero todos los ataques llegaron… software»dice Peris. “El problema se consideró menor porque cuando la cadena de suministro de software Es masivo, no se sabe en principio contra quién irá. Roban datos, es un problema, pero lo aceptamos. Normalmente, cuando consiguen datos lo que hacen es revenderlos, normalmente para publicidad”, añade.
Pero los ataques continúan hardwarecomo hemos visto, tienen un posible alcance mucho más devastador: son físicos. “Es un problema que ya se conocía pero que ha cambiado de alcance. La cadena de suministro era un problema que conocíamos, pero habíamos dado un paso adelante y confiábamos en que todo funcionaba bien”, añade. Esto ha cambiado.
4. ¿En qué otros dispositivos puede ocurrir esto?
Cuando estallaron miles de búsquedas en el Líbano, todos inconscientemente metieron la mano en sus bolsillos. ¿Y si mi celular también? Está claro que esto no sucederá y que los ataques a distancia sin manipulación previa son menos dañinos.
¿Pero qué pasaría en otros dispositivos? “Me acordé inmediatamente del marcapasos”, afirma Peris, que ha estudiado esta zona. La industria sanitaria está bastante atenta a los marcapasos, bombas de insulina u otros dispositivos similares. Si aumenta la seguridad, la batería y el funcionamiento pueden verse afectados. Actualmente no se conocen casos de manipulación con fines de asesinato. Sí, hubo una serie de ficción donde sucedió esto, por lo que no es del todo inimaginable, advierte Peris.
El ataque podría recordar al de Hezbollah, pero nunca volvería a ser el mismo: “No se parecen. Para empezar, tu objetivo debe tener un marcapasos y tú debes saber que lo tiene”, explica Peris. “Entonces hay que superar la seguridad del dispositivo”, añade.
Aunque la seguridad de estos dispositivos sanitarios suele ser violable. “Hacen algo que no deberían: brindar seguridad a través de la oscuridad. Te doy un gadget que es una caja negra y te digo que es seguro pero no te digo cómo”, explica Peris. “Esto va en contra de todos los principios de quienes hoy trabajamos en ciberseguridad: publicar cómo funciona para que todos intenten romperlo. Y si nadie lo entiende, entonces es una garantía. Pero en estos casos esto no sucederá».
Son varios los experimentos académicos publicados en los últimos años que han demostrado cómo superar esa protección y freír el corazón de la hipotética víctima. Estos sistemas están conectados para ayudar a los médicos a tratar problemas o cambiar parámetros de forma remota. Pero puede tener otros fines más riesgosos: «Si tienes arritmia te dan un shock, pero si no tienes nada y te lo dan te lo pueden parar. Te golpearán con una pelota en el pecho”, dice Peris.