Marcapasos, cadenas de suministro y otros miedos tecnol¨®gicos que dejan los ataques contra Hezbol¨¢

Los ataques f¨ªsicos mediante buscas y walkie talkies en manos de miembros de la banda Hezbol¨¢ han provocado sorpresa y un debate en la comunidad tecnol¨®gica. Primero fue la pregunta de c¨®mo pudo montarse una operaci¨®n de esta magnitud. Ahora que ha pasado algo m¨¢s de tiempo, llega la pregunta de qu¨¦ significa todo esto para regiones en conflicto, pa¨ªses occidentales sin conflicto por ahora y para el futuro de la producci¨®n de dispositivos conectados.

1. Cu¨¢nto miedo hay que tener

Depende del lugar de residencia. En pa¨ªses sin conflicto potencial es improbable que ocurra una operaci¨®n de esta magnitud, ni siquiera a peque?a escala. Sobre todo porque requiere un tipo de preparaci¨®n y log¨ªstica que permita el acceso f¨ªsico a miles de dispositivos con un destino concreto.

En pa¨ªses donde un potencial adversario tiene capacidad de acceder a miles de aparatos, el nivel de miedo puede variar. Cualquier dispositivo conectado puede llevar alg¨²n tipo de explosivo dentro que se active en remoto. Esto, como es obvio, implica un mont¨®n de debates ¨¦ticos y legales sobre civiles en conflicto, pero t¨¦cnicamente nada impide que este nuevo tipo de ¡°armamento¡± vuelva a ser usado. ¡°Entiendo que en un pa¨ªs en conflicto te pongas paranoico con todos los dispositivos. Ha pasado ya con los que usan para comunicaciones por evitar el tel¨¦fono¡±, dice Pedro Peris, catedr¨¢tico de la Universidad Carlos III y miembro de la red Leonardo del BBVA. Pero puede pasar con muchos otros aparatos.

2. De qu¨¦ no hay que tener miedo

De la bater¨ªa del dispositivo. ¡°Tiene que quedar claro que si no hay manipulaci¨®n f¨ªsica del dispositivo, lo que han hecho [contra Hezbol¨¢] no se puede hacer¡±, resume Peris. ¡°Con una bater¨ªa, por mucho que la sobrecalientes, no vas a conseguir algo as¨ª. No va a haber un ataque con la bater¨ªa ni siquiera dirigido contra un objetivo: aunque podr¨ªa hacerse un ataque donde la bater¨ªa se calentara y causara alg¨²n da?o, pero no ser¨ªa igual y te dar¨ªas cuenta de que se est¨¢ calentando como un demonio y la tirar¨ªas por la ventana¡±, a?ade.

Sin manipulaci¨®n previa del dispositivo no hay explosi¨®n. Tambi¨¦n manipulaci¨®n de su software, para poder programar o preparar la explosi¨®n. Para eso hay que fabricarlo o interceptarlo.

3. Cu¨¢l ha sido la mayor sorpresa

La cadena de suministro es el proceso en el que distintos proveedores (o uno solo) re¨²nen piezas para producir un dispositivo. El sector militar es perfectamente consciente de que no hay que dejar que potenciales rivales fabriquen tus radares o armas.

Con el software ocurre lo contrario: hemos aceptado no dar demasiada importancia a que nuestros dispositivos vengan programas dudosos preinstalados. ¡°Hasta ahora sab¨ªamos que la cadena de suministro es cr¨ªtica. Pero todos los ataques ven¨ªan en el software¡±, dice Peris. ¡°El problema se consideraba menor porque cuando se ataca la cadena de suministro de software es masivo, no se sabe en principio contra qui¨¦n va a ir. Roban datos, es un problema, pero lo aceptamos. Normalmente, cuando cogen datos a lo bestia, lo que hacen es revenderlos, t¨ªpicamente para publicidad¡±, a?ade.

Pero los ataques al hardware, como se ha visto, tienen un alcance posible mucho m¨¢s devastador: son f¨ªsicos. ¡°Es un problema que ya se sab¨ªa pero ha cambiado en escala. La cadena de suministro era un problema que conoc¨ªamos, pero hab¨ªamos dado una patada para adelante y hab¨ªamos confiado en que todo funcionaba bien¡±, a?ade. Esto ha cambiado.

4. En qu¨¦ otros dispositivos puede ocurrir

Cuando explotaron miles de buscas en el L¨ªbano, todo el mundo inconscientemente se toc¨® el bolsillo. ?Y si mi m¨®vil tambi¨¦n? Est¨¢ claro que eso no va a ocurrir y que los ataques remotos sin manipulaci¨®n previa son menos da?inos.

?Pero qu¨¦ pasar¨ªa en otros dispositivos? ¡°En seguida me acord¨¦ del marcapasos¡±, cuenta Peris, que ha investigado ese ¨¢mbito. El sector sanitario es bastante vigilante con marcapasos, bombas de insulina u otros aparatos similares. Si se aumenta su seguridad, su bater¨ªa y su funcionamiento pueden verse perjudicados. De momento no ha habido, que se sepa, casos de manipulaci¨®n para asesinar a alguien. S¨ª que ha habido una serie de ficci¨®n donde ocurr¨ªa, con lo que no es completamente inimaginable, avisa Peris.

El ataque podr¨ªa recordar al de Hezbol¨¢, pero nunca ser¨ªa igual: ¡°No se parecen. Para empezar tu objetivo deber¨ªa llevar un marcapasos y t¨² deber¨ªas saber que lo lleva¡±, explica Peris. ¡°Despu¨¦s, tienes que sobrepasar la seguridad que tenga el dispositivo¡±, a?ade.

Aunque la seguridad de estos aparatos sanitarios es a menudo franqueable. ¡°Hacen una cosa que no deber¨ªan: seguridad por oscuridad. Yo te doy un cacharro que es una caja negra y te digo que es seguro pero no te digo c¨®mo¡±, explica Peris. ¡°Eso va en contra de todos los principios de la gente que hoy trabajamos en ciberseguridad: publicar c¨®mo funciona para que todo el mundo trate de romperlo. Y si nadie lo consigue, pues es una garant¨ªa. Pero eso no va a pasar en estos casos¡±.

Hay varios experimentos acad¨¦micos publicados en los ¨²ltimos a?os que han demostrado c¨®mo superar esa protecci¨®n y fre¨ªr el coraz¨®n de la hipot¨¦tica v¨ªctima. Estos sistemas est¨¢n conectados para ayudar a los m¨¦dicos a tratar problemas o modificar par¨¢metros en remoto. Pero puede tener otros fines m¨¢s arriesgados: ¡°Si tienes una arritmia te van a dar una descarga, pero si no tienes nada y te la dan, se te puede parar. Te van a dar un pelotazo en el pecho¡±, dice Peris.