En nuestro mundo moderno, donde las noticias preocupantes nos abruman a diario y llegan continuamente, es posible que para la ciudadanía común una alarma significativa pase desapercibida.
Ese puede ser el caso del reciente incidente con los “Beepers” y “walkie-talkies” explosivos en el Líbano. Aún cuando no todavía no hay una explicación cabal y técnica, que aclare lo sucedido -aquí nosotros nos enfocamos exclusivamente en lo relativo a la ingeniería- todo parece indicar que de trasfondo ocurrió un Ataque a la Cadena de Suministros (Supply Chain Attack).
Esto significa que el proceso de manufactura de los dispositivos fue alterado indebidamente, transformando un sistema electrónico de comunicación en una bomba ambulante, lista para detonar remotamente. Y ello parece un punto de inflexión en materia de Ciberseguridad, parecido a la revelación en 2010 del malware dirigido “Stuxnet”. Un proyecto tecnológico previo, de tal envergadura y sofisticación que su ejecución indicó la presencia activa y ofensiva de naciones – estado en conflictos y la pugna por el poder del ciberespacio.
Aclaramos, que no es la primera vez que algo parecido sucede y es que recordamos la explosión del gasoducto soviético Urengói-Surgut-Cheliábinsk a comienzos de los años ochenta; también viene a nuestra memoria la detonación remota, en 1996, de un teléfono móvil que manejaba Yahya Ayyash, un miembro del grupo Hamas. Adicionalmente se puede recordar, como parte del escándalo de Edward Snowden, se habilitó la filtración de un proyecto de 2010 de la Agencia Nacional de Seguridad (NSA) estadounidense, que tenía como propósito modificar la fabricación de “ruteadores” en Internet, que incluían al conocido fabricante Cisco y pretendía supervisar el tráfico de la Internet, por afuera del control de los administradores técnicos y sobre los prestadores de servicios de telecomunicaciones. Finalmente hay otro caso previo y se remonta a 2017, cuando Wikileaks® reveló, esfuerzos de una conocida agencia de inteligencia, para alterar el “firmware” de numerosos dispositivos de redes de computadoras comerciales, para así poder aumentar su capacidad de espionaje.
A diferencia de todos esos escenarios preocupantes, lo notable en este nuevo caso, es que ahora se tiene la idea de que se fue más allá en las consecuencias. La tragedia tocó, directamente, a ciudadanos comunes y salió de enfrentamientos entre instituciones gubernamentales, espías y combatientes. De hecho se cree que el vector de propagación del peligro son seres humanos que portaban los dispositivos electrónicos. Y sin entrar en valoraciones de si esos sujetos son buenos o malos, o si es lícito agredirlos o eliminarlos, al llevar ellos consigo, en sus bolsillos o manos, tales elementos y desplazarse continuamente por zonas concurridas, se transformaron en el medio de distribución del mal sobre otra gente, seres ajenos al conflicto. Cifras preliminares revelan que los inocentes son numerosos y ello coloca las víctimas afuera del entorno militar para tocar al mundo civil.
Esta acción parece encajar en una asombrosa y peculiar muestra de cómo, en la práctica real, ya se han entrelazado varios ámbitos cercanos, el espionaje, la infiltración y manipulación de productos, la alteración encubierta de servicios y las operaciones ofensivas militares. Con efectos más relajados en la “proporcionalidad” de la actividad militar agresiva, es decir, una mayor amplitud de tolerancia a la magnitud del daño colateral. Eso quiere decir que se han cruzado las líneas de ataque del ciberespacio, con la del espacio físico real. Desapareciendo la conocida dificultad de confinamiento de actividades dentro de esos dominios.
Adicionalmente, ese espeluznante precedente, dispara otros efectos sobre la sociedad civil y podemos suponer que, nuevas consecuencias también la tocarán. Y es que la seguridad física se verá trastocada más agudamente, dado que podemos suponer que ahora se examinará con mayor detalle el ingreso y operación de algunos dispositivos en ciertas áreas sensibles, como son partes de un aeropuerto, plantas industriales, locales gubernamentales, militares y de sanidad. La desconfianza y angustia aumentará en ciertas personas o comunidades, al notar la presencia de sujetos de reconocida actividad política o castrense, igual que se pudiera esperar mayor complejidad en procedimientos de adquisición y compra de artefactos delicados, como podría ser una Unidad Terminal Remota (RTU) o un Controlador Lógico Programable (PLC) que se integre a una instalación de un sistema tipo SCADA o a un Tomógrafo Computarizado que se coloque en un hospital militar.
Por otra parte, el desarrollo, industrialización y comercialización de ciertos productos, pudiera ser más difícil y por eso, resultar más costosas económicamente y consumir mayor tiempo. No sería descabellado esperar que los productores progresivamente deban proveer nuevas garantías, al menos cuando resulten fuentes de insumos para instituciones militares y/o de seguridad. No bastará con las comprobaciones tradicionales, ya que la facilidad de que un fabricante apoye su manufactura con suministros de otras latitudes, debilita su control y abre espacios para regulaciones jurídicas o de seguridad que faculten el espionaje, el sabotaje o la subversión. Y para aquellos que puedan pensar que esto es una exageración, basta con mirar como en otras naciones, ya se aplican vetos a ciertos productos o instrumentos producidos en países que se juzgan como antagonistas.
Y es que desde hace más de una década, en varios países, el rol del ciberespacio y sus actores ha sido discutido entre altos dirigentes de seguridad e inteligencia y algunos extractos han llegado al público. Por ejemplo, en su libro “Jugando al límite”, el ex-director de la NSA, Michael Hayden refiere un escrito de 2010, donde un Consejero Lynn del Secretario de Defensa estadounidense, escribió una pieza peculiar sobre el tema en un número de otoño, de la prestigiosa revista “Foreign Affairs”. En referencia al dominio del ciberespacio, Hayden comentó el texto de este modo: “El público también tuvo que prestar atención a una sección del artículo de Lynn titulada “Aprovechando el dominio”, así como a su descripción maravillosamente inquietante y algo siniestra de algo que él llamó defensa activa: “en parte sensor, en parte centinela, en parte francotirador”. Se pueden imaginar cómo se leyó esa última palabra en muchas ciudades extranjeras.”
Coincidentalmente, hace días la Unión Europea promulgó el Acta de Ciber Resiliencia (CRA) que endurece las exigencias de seguridad en productos digitales y demanda una aproximación más rígida, para alcanzar la seguridad desde el diseño en los sistemas digitales. Se le otorgan 3 años a los fabricantes, importadores y distribuidores para ponerse en capacidad de cumplir con el acta. Con todo este panorama, podemos esperar que los análisis de riesgos deban ampliarse; al igual que aclarar si los dispositivos alterados en este incidente, constituyen una “trampa caza bobos” masiva, ya que ello está prohibido por la enmienda del Protocolo II de Naciones Unidas con fecha 1996, sobre ese tipo de problemas.
De cualquier forma, parece que otra caja de Pandora se ha abierto y ahora podemos esperar que los árboles de amenazas incluyan ramas donde no solamente se roba información, se eliminan bases de datos o se niega el servicio. Tendremos que incorporar renglones como “ataque masivo de explosiones distribuidas” y lo más difícil será desarrollar contramedidas efectivas para este infortunio tecnológico. Razón tenia el dramaturgo español, Jacinto Benavente cuando expresó: “Lo peor que hacen los malos es obligarnos a dudar de los buenos.”
Autor: Miguel Torrealba Sánchez. Universidad Simón Bolívar
Departamento de Computación y Tecnología de la Información
mtorrealba@usb.ve
