Los ataques israelíes con buscapersonas cambiaron el mundo
Bruce Schneier
Los ataques temerarios realizados por Israel contra Hizbulá la semana pasada, en los que cientos de beepers o buscapersonas y radios de dos vías explotaron y mataron al menos a 37 personas, fueron la representación gráfica de una amenaza sobre la que los expertos en ciberseguridad llevan años advirtiendo: nuestras cadenas internacionales de suministro de equipos informáticos nos hacen vulnerables. Y no tenemos buenos medios para defendernos.
Aunque las operaciones fueron letales e imponentes, ninguno de los elementos utilizados para llevarlas a cabo fue particularmente nuevo. Las tácticas empleadas por Israel, que no ha confirmado ni desmentido su participación, para apropiarse de una cadena de suministro internacional y ocultar explosivos plásticos en artefactos de Hizbulá, se han utilizado por años. Lo nuevo es la manera tan devastadora y desmesuradamente pública en que Israel lo organizó, que mostró la manera en que se verá el futuro de la competencia entre las grandes potencias, en tiempos de paz, tiempos de guerra y en la cada vez más amplia zona gris que existe entre ellos.
Los objetivos no serán solo terroristas. Nuestras computadoras son vulnerables, y también, cada vez más, nuestros coches, nuestros refrigeradores, nuestros termostatos domésticos y muchas otras cosas útiles que nos rodean. Los objetivos están en todas partes.
El componente central de la operación —implantar explosivos plásticos en buscapersonas y radios— ha sido un riesgo terrorista desde que Richard Reid, al que llaman terrorista del zapato, intentó detonar unos en un avión en 2001. Eso es lo que todos los escáneres de los aeropuertos están diseñados para buscar, tanto los que se ven en los controles de seguridad como los que escanean el equipaje después. Incluso una cantidad pequeña puede causar un daño importante.
El segundo componente, el asesinato mediante un dispositivo personal, tampoco es nuevo. Israel utilizó esta táctica contra un fabricante de bombas de Hamás en 1996 y contra un activista de Fatah en 2000. Ambos murieron por la detonación a distancia de celulares con trampas explosivas.
La última pieza del plan de Israel, la más compleja desde el punto de vista logístico —atacar una cadena de suministro internacional para intervenir equipos a gran escala— es algo que Estados Unidos ya ha hecho, aunque con otros fines. La Agencia de Seguridad Nacional estadounidense ha interceptado equipos de comunicaciones en tránsito y los ha modificado, no con fines destructivos, sino para espiar. Sabemos por un documento de Edward Snowden que la agencia hizo esto a un enrutador Cisco que se dirigía a una empresa de telecomunicaciones siria. Se podría suponer que esta no ha sido la única operación de este tipo llevada a cabo por la agencia.
Crear una empresa fachada para engañar a las víctimas ni siquiera es un giro nuevo. Según informes, Israel creó una empresa fantasma para producir y vender artefactos cargados de explosivos a Hizbulá. En 2019, el FBI creó una empresa que vendía celulares supuestamente seguros a delincuentes; no para asesinarlos, sino para espiarlos y luego detenerlos.
Conclusión: nuestras cadenas de suministro son vulnerables, lo que significa que nosotros somos vulnerables. Cualquiera —cualquier país, cualquier grupo, cualquier individuo— que interactúe con una cadena de suministro de alta tecnología puede potencialmente alterar los equipos que pasan por ella. Podrían ser alterados para espiar. Podrían ser alterados para que se deterioren de manera remota o hacer que fallen. Y, aunque es más difícil, pueden ser alterados para matar.
Los dispositivos personales conectados a internet —y los países en los que se utilizan mucho, como Estados Unidos— están especialmente en riesgo. En 2007, el Laboratorio Nacional de Idaho demostró que un ciberataque podía hacer explotar un generador de alta tensión. En 2010, un virus informático que se cree que fue desarrollado en conjunto por Estados Unidos e Israel destruyó centrifugadoras en una instalación nuclear iraní. Un depósito de documentos de la CIA de 2017 incluía declaraciones sobre la posibilidad de hackear coches a distancia, algo que WikiLeaks afirmó que se puede usar para llevar a cabo “asesinatos casi indetectables”. Esto no es solo teórico: en 2015, un reportero de Wired permitió que hackers tomaran el control de su coche de forma remota mientras lo conducía. Ellos deshabilitaron el motor mientras él conducía por una autopista.
El mundo ya ha empezado a adaptarse a esta amenaza. Muchos países son cada vez más cautelosos a la hora de comprar equipos de comunicaciones a países en los que no confían. Estados Unidos y otros países están prohibiendo los enrutadores grandes de la empresa china Huawei porque tememos que puedan usarse para espiar y —peor aún— ser desactivados de manera remota en un momento en que las hostilidades se intensifiquen. En 2019 hubo un momento breve de pánico sobre unos vagones de metro fabricados en China que posiblemente podrían haber sido modificados para escuchar sigilosamente a sus pasajeros.
No son solo los equipos terminados los que están bajo sospecha. Hace más de una década, el ejército de EE. UU. investigó los riesgos de seguridad de usar piezas chinas en sus equipos. En 2018, un informe de Bloomberg reveló que investigadores de EE. UU. habían acusado a China de modificar chips informáticos para robar información.
La manera de defenderse contra estos y otros ataques similares no es obvia. Nuestras cadenas de suministro de alta tecnología son complejas e internacionales. A Hizbulá no le llamó la atención que los buscapersonas del grupo procedieran de una empresa con sede en Hungría que los obtenía de Taiwán, porque ese tipo de cosas son perfectamente normales. La mayoría de los productos electrónicos que compran los estadounidenses proceden del extranjero, incluidos nuestros iPhones, cuyas piezas vienen de decenas de países antes de ser ensambladas, principalmente en China.
Es un problema difícil de solucionar. No podemos imaginarnos que Washington apruebe una ley que exija que los iPhones se fabriquen íntegramente en Estados Unidos. Los costos de mano de obra son demasiado altos y nuestro país no tiene la capacidad nacional para fabricarlos. Nuestras cadenas de suministro son profunda e inexorablemente internacionales, y cambiar eso requeriría traer las economías globales de vuelta a la década de 1980.
¿Y ahora qué? En cuanto a Hizbulá, sus dirigentes y agentes ya no podrán confiar en los equipos que estén conectados a una red, lo que muy probablemente haya sido uno de los principales objetivos de los atentados. Y el mundo tendrá que esperar para ver si hay efectos a largo plazo de este ataque o cómo responderá el grupo.
Pero ahora que esa línea se ha cruzado, es casi seguro que otros países empezarán a considerar que este tipo de táctica está dentro de sus límites. Podría utilizarse contra un ejército durante una guerra, o contra civiles en el periodo previo a una guerra. Y los países desarrollados como Estados Unidos serán especialmente vulnerables, simplemente por el gran número de dispositivos vulnerables que tenemos.
* (c) The New York Times. Bruce Schneier es tecnólogo de seguridad y profesor en la Harvard Kennedy School. Su nuevo libro es A Hacker’s Mind: how the Powerful Bend Society’s Rules, and How to Bend Them Back.
Los ataques temerarios realizados por Israel contra Hizbulá la semana pasada, en los que cientos de beepers o buscapersonas y radios de dos vías explotaron y mataron al menos a 37 personas, fueron la representación gráfica de una amenaza sobre la que los expertos en ciberseguridad llevan años advirtiendo: nuestras cadenas internacionales de suministro de equipos informáticos nos hacen vulnerables. Y no tenemos buenos medios para defendernos.
Aunque las operaciones fueron letales e imponentes, ninguno de los elementos utilizados para llevarlas a cabo fue particularmente nuevo. Las tácticas empleadas por Israel, que no ha confirmado ni desmentido su participación, para apropiarse de una cadena de suministro internacional y ocultar explosivos plásticos en artefactos de Hizbulá, se han utilizado por años. Lo nuevo es la manera tan devastadora y desmesuradamente pública en que Israel lo organizó, que mostró la manera en que se verá el futuro de la competencia entre las grandes potencias, en tiempos de paz, tiempos de guerra y en la cada vez más amplia zona gris que existe entre ellos.
Los objetivos no serán solo terroristas. Nuestras computadoras son vulnerables, y también, cada vez más, nuestros coches, nuestros refrigeradores, nuestros termostatos domésticos y muchas otras cosas útiles que nos rodean. Los objetivos están en todas partes.
El componente central de la operación —implantar explosivos plásticos en buscapersonas y radios— ha sido un riesgo terrorista desde que Richard Reid, al que llaman terrorista del zapato, intentó detonar unos en un avión en 2001. Eso es lo que todos los escáneres de los aeropuertos están diseñados para buscar, tanto los que se ven en los controles de seguridad como los que escanean el equipaje después. Incluso una cantidad pequeña puede causar un daño importante.
El segundo componente, el asesinato mediante un dispositivo personal, tampoco es nuevo. Israel utilizó esta táctica contra un fabricante de bombas de Hamás en 1996 y contra un activista de Fatah en 2000. Ambos murieron por la detonación a distancia de celulares con trampas explosivas.
La última pieza del plan de Israel, la más compleja desde el punto de vista logístico —atacar una cadena de suministro internacional para intervenir equipos a gran escala— es algo que Estados Unidos ya ha hecho, aunque con otros fines. La Agencia de Seguridad Nacional estadounidense ha interceptado equipos de comunicaciones en tránsito y los ha modificado, no con fines destructivos, sino para espiar. Sabemos por un documento de Edward Snowden que la agencia hizo esto a un enrutador Cisco que se dirigía a una empresa de telecomunicaciones siria. Se podría suponer que esta no ha sido la única operación de este tipo llevada a cabo por la agencia.
Crear una empresa fachada para engañar a las víctimas ni siquiera es un giro nuevo. Según informes, Israel creó una empresa fantasma para producir y vender artefactos cargados de explosivos a Hizbulá. En 2019, el FBI creó una empresa que vendía celulares supuestamente seguros a delincuentes; no para asesinarlos, sino para espiarlos y luego detenerlos.
Conclusión: nuestras cadenas de suministro son vulnerables, lo que significa que nosotros somos vulnerables. Cualquiera —cualquier país, cualquier grupo, cualquier individuo— que interactúe con una cadena de suministro de alta tecnología puede potencialmente alterar los equipos que pasan por ella. Podrían ser alterados para espiar. Podrían ser alterados para que se deterioren de manera remota o hacer que fallen. Y, aunque es más difícil, pueden ser alterados para matar.
Los dispositivos personales conectados a internet —y los países en los que se utilizan mucho, como Estados Unidos— están especialmente en riesgo. En 2007, el Laboratorio Nacional de Idaho demostró que un ciberataque podía hacer explotar un generador de alta tensión. En 2010, un virus informático que se cree que fue desarrollado en conjunto por Estados Unidos e Israel destruyó centrifugadoras en una instalación nuclear iraní. Un depósito de documentos de la CIA de 2017 incluía declaraciones sobre la posibilidad de hackear coches a distancia, algo que WikiLeaks afirmó que se puede usar para llevar a cabo “asesinatos casi indetectables”. Esto no es solo teórico: en 2015, un reportero de Wired permitió que hackers tomaran el control de su coche de forma remota mientras lo conducía. Ellos deshabilitaron el motor mientras él conducía por una autopista.
El mundo ya ha empezado a adaptarse a esta amenaza. Muchos países son cada vez más cautelosos a la hora de comprar equipos de comunicaciones a países en los que no confían. Estados Unidos y otros países están prohibiendo los enrutadores grandes de la empresa china Huawei porque tememos que puedan usarse para espiar y —peor aún— ser desactivados de manera remota en un momento en que las hostilidades se intensifiquen. En 2019 hubo un momento breve de pánico sobre unos vagones de metro fabricados en China que posiblemente podrían haber sido modificados para escuchar sigilosamente a sus pasajeros.
No son solo los equipos terminados los que están bajo sospecha. Hace más de una década, el ejército de EE. UU. investigó los riesgos de seguridad de usar piezas chinas en sus equipos. En 2018, un informe de Bloomberg reveló que investigadores de EE. UU. habían acusado a China de modificar chips informáticos para robar información.
La manera de defenderse contra estos y otros ataques similares no es obvia. Nuestras cadenas de suministro de alta tecnología son complejas e internacionales. A Hizbulá no le llamó la atención que los buscapersonas del grupo procedieran de una empresa con sede en Hungría que los obtenía de Taiwán, porque ese tipo de cosas son perfectamente normales. La mayoría de los productos electrónicos que compran los estadounidenses proceden del extranjero, incluidos nuestros iPhones, cuyas piezas vienen de decenas de países antes de ser ensambladas, principalmente en China.
Es un problema difícil de solucionar. No podemos imaginarnos que Washington apruebe una ley que exija que los iPhones se fabriquen íntegramente en Estados Unidos. Los costos de mano de obra son demasiado altos y nuestro país no tiene la capacidad nacional para fabricarlos. Nuestras cadenas de suministro son profunda e inexorablemente internacionales, y cambiar eso requeriría traer las economías globales de vuelta a la década de 1980.
¿Y ahora qué? En cuanto a Hizbulá, sus dirigentes y agentes ya no podrán confiar en los equipos que estén conectados a una red, lo que muy probablemente haya sido uno de los principales objetivos de los atentados. Y el mundo tendrá que esperar para ver si hay efectos a largo plazo de este ataque o cómo responderá el grupo.
Pero ahora que esa línea se ha cruzado, es casi seguro que otros países empezarán a considerar que este tipo de táctica está dentro de sus límites. Podría utilizarse contra un ejército durante una guerra, o contra civiles en el periodo previo a una guerra. Y los países desarrollados como Estados Unidos serán especialmente vulnerables, simplemente por el gran número de dispositivos vulnerables que tenemos.
* (c) The New York Times. Bruce Schneier es tecnólogo de seguridad y profesor en la Harvard Kennedy School. Su nuevo libro es A Hacker’s Mind: how the Powerful Bend Society’s Rules, and How to Bend Them Back.