Los ataques físicos mediante buscas y walkie talkies en manos de miembros de la banda Hezbolá han provocado sorpresa y un debate en la comunidad tecnológica. Primero fue la pregunta de cómo pudo montarse una operación de esta magnitud. Ahora que ha pasado algo más de tiempo, llega la pregunta de qué significa todo esto para regiones en conflicto, países occidentales sin conflicto por ahora y para el futuro de la producción de dispositivos conectados.
1. Cuánto miedo hay que tener
Depende del lugar de residencia. En países sin conflicto potencial es improbable que ocurra una operación de esta magnitud, ni siquiera a pequeña escala. Sobre todo porque requiere un tipo de preparación y logística que permita el acceso físico a miles de dispositivos con un destino concreto.
En países donde un potencial adversario tiene capacidad de acceder a miles de aparatos, el nivel de miedo puede variar. Cualquier dispositivo conectado puede llevar algún tipo de explosivo dentro que se active en remoto. Esto, como es obvio, implica un montón de debates éticos y legales sobre civiles en conflicto, pero técnicamente nada impide que este nuevo tipo de “armamento” vuelva a ser usado. “Entiendo que en un país en conflicto te pongas paranoico con todos los dispositivos. Ha pasado ya con los que usan para comunicaciones por evitar el teléfono”, dice Pedro Peris, catedrático de la Universidad Carlos III y miembro de la red Leonardo del BBVA. Pero puede pasar con muchos otros aparatos.
As someone who grew up during war in Beirut, I can tell you the Mideast is a global testing ground for new weaponry. The ramifications of this pager attack in Lebanon should give chills to anyone paying attention.
— Peter Daou (@peterdaou) September 17, 2024
2. De qué no hay que tener miedo
De la batería del dispositivo. “Tiene que quedar claro que si no hay manipulación física del dispositivo, lo que han hecho [contra Hezbolá] no se puede hacer”, resume Peris. “Con una batería, por mucho que la sobrecalientes, no vas a conseguir algo así. No va a haber un ataque con la batería ni siquiera dirigido contra un objetivo: aunque podría hacerse un ataque donde la batería se calentara y causara algún daño, pero no sería igual y te darías cuenta de que se está calentando como un demonio y la tirarías por la ventana”, añade.
Sin manipulación previa del dispositivo no hay explosión. También manipulación de su software, para poder programar o preparar la explosión. Para eso hay que fabricarlo o interceptarlo.
3. Cuál ha sido la mayor sorpresa
La cadena de suministro es el proceso en el que distintos proveedores (o uno solo) reúnen piezas para producir un dispositivo. El sector militar es perfectamente consciente de que no hay que dejar que potenciales rivales fabriquen tus radares o armas.
Con el software ocurre lo contrario: hemos aceptado no dar demasiada importancia a que nuestros dispositivos vengan programas dudosos preinstalados. “Hasta ahora sabíamos que la cadena de suministro es crítica. Pero todos los ataques venían en el software”, dice Peris. “El problema se consideraba menor porque cuando se ataca la cadena de suministro de software es masivo, no se sabe en principio contra quién va a ir. Roban datos, es un problema, pero lo aceptamos. Normalmente, cuando cogen datos a lo bestia, lo que hacen es revenderlos, típicamente para publicidad”, añade.
Pero los ataques al hardware, como se ha visto, tienen un alcance posible mucho más devastador: son físicos. “Es un problema que ya se sabía pero ha cambiado en escala. La cadena de suministro era un problema que conocíamos, pero habíamos dado una patada para adelante y habíamos confiado en que todo funcionaba bien”, añade. Esto ha cambiado.
4. En qué otros dispositivos puede ocurrir
Cuando explotaron miles de buscas en el Líbano, todo el mundo inconscientemente se tocó el bolsillo. ¿Y si mi móvil también? Está claro que eso no va a ocurrir y que los ataques remotos sin manipulación previa son menos dañinos.
¿Pero qué pasaría en otros dispositivos? “En seguida me acordé del marcapasos”, cuenta Peris, que ha investigado ese ámbito. El sector sanitario es bastante vigilante con marcapasos, bombas de insulina u otros aparatos similares. Si se aumenta su seguridad, su batería y su funcionamiento pueden verse perjudicados. De momento no ha habido, que se sepa, casos de manipulación para asesinar a alguien. Sí que ha habido una serie de ficción donde ocurría, con lo que no es completamente inimaginable, avisa Peris.
El ataque podría recordar al de Hezbolá, pero nunca sería igual: “No se parecen. Para empezar tu objetivo debería llevar un marcapasos y tú deberías saber que lo lleva”, explica Peris. “Después, tienes que sobrepasar la seguridad que tenga el dispositivo”, añade.
Aunque la seguridad de estos aparatos sanitarios es a menudo franqueable. “Hacen una cosa que no deberían: seguridad por oscuridad. Yo te doy un cacharro que es una caja negra y te digo que es seguro pero no te digo cómo”, explica Peris. “Eso va en contra de todos los principios de la gente que hoy trabajamos en ciberseguridad: publicar cómo funciona para que todo el mundo trate de romperlo. Y si nadie lo consigue, pues es una garantía. Pero eso no va a pasar en estos casos”.
Hay varios experimentos académicos publicados en los últimos años que han demostrado cómo superar esa protección y freír el corazón de la hipotética víctima. Estos sistemas están conectados para ayudar a los médicos a tratar problemas o modificar parámetros en remoto. Pero puede tener otros fines más arriesgados: “Si tienes una arritmia te van a dar una descarga, pero si no tienes nada y te la dan, se te puede parar. Te van a dar un pelotazo en el pecho”, dice Peris.