«Beepers explosivos» un punto de quiebre en materia de ciberseguridad

La explosión de los beepers en el Líbano ha conducido a que se presuma que en materia de ciberseguridad se ha provocado un punto de quiebre, ya que se alteraron dispositivos y el sistema electrónico de comunicación se transformó en una bomba.

Así lo señaló el profesor de la Universidad Simón Bolívar (USB), Miguel Torrealba Sánchez, del departamento de Computación y Tecnología de la Información de la mencionada institución y, coordinador de Ingeniería de Telecomunicaciones, en un trabajo publicado en el portal Cambio Digital.

Refiere que “aún cuando todavía no hay una explicación cabal y técnica, que aclare lo sucedido -aquí nosotros nos enfocamos exclusivamente en lo relativo a la ingeniería- todo parece indicar que de trasfondo ocurrió un ataque a la cadena de suministros (Supply Chain Attack).”

Esto significa, según puntualiza “que el proceso de manufactura de los dispositivos fue alterado indebidamente, transformando un sistema electrónico de comunicación en una bomba ambulante, lista para detonar remotamente. Y ello parece un punto de inflexión en materia de Ciberseguridad, parecido a la revelación en 2010 del malware dirigido “Stuxnet”. Un proyecto tecnológico previo, de tal envergadura y sofisticación que su ejecución indicó la presencia activa y ofensiva de naciones – estado en conflictos y la pugna por el poder del ciberespacio”.

Hay antecedentes similares

Señala el especialista , que no es la primera vez que algo parecido sucede “recordamos la explosión del gasoducto soviético Urengói-Surgut-Cheliábinsk a comienzos de los años ochenta; también viene a nuestra memoria la detonación remota, en 1996, de un teléfono móvil que manejaba Yahya Ayyash, un miembro del grupo Hamas”.

Asimismo, explica que adicionalmente se puede recordar, como parte del escándalo de Edward Snowden, se habilitó la filtración de un proyecto de 2010 de la Agencia Nacional de Seguridad (NSA) estadounidense, que tenía como propósito modificar la fabricación de “ruteadores” en Internet, que incluían al conocido fabricante Cisco y pretendía supervisar el tráfico de la Internet, por afuera del control de los administradores técnicos y sobre los prestadores de servicios de telecomunicaciones.

Refiere además, que hay otro caso previo y se remonta a 2017, cuando Wikileaks® reveló, esfuerzos de una conocida agencia de inteligencia, para alterar el “firmware” de numerosos dispositivos de redes de computadoras comerciales, para así poder aumentar su capacidad de espionaje.

Víctimas civiles

“A diferencia de todos esos escenarios preocupantes, lo notable en este nuevo caso, es que ahora se tiene la idea de que se fue más allá en las consecuencias. La tragedia tocó, directamente, a ciudadanos comunes y salió de enfrentamientos entre instituciones gubernamentales, espías y combatientes”, puntualiza.

En ese sentido acota que se cree que “el vector de propagación del peligro son seres humanos que portaban los dispositivos electrónicos. Y sin entrar en valoraciones de si esos sujetos son buenos o malos, o si es lícito agredirlos o eliminarlos, al llevar ellos consigo, en sus bolsillos o manos, tales elementos y desplazarse continuamente por zonas concurridas, se transformaron en el medio de distribución del mal sobre otra gente, seres ajenos al conflicto. Cifras preliminares revelan que los inocentes son numerosos y ello coloca las víctimas afuera del entorno militar para tocar al mundo civil”.

Se cruzaron las líneas del ataque

Al referirse a la acción, considera que “parece encajar en una asombrosa y peculiar muestra de cómo, en la práctica real, ya se han entrelazado varios ámbitos cercanos, el espionaje, la infiltración y manipulación de productos, la alteración encubierta de servicios y las operaciones ofensivas militares. Con efectos más relajados en la “proporcionalidad” de la actividad militar agresiva, es decir, una mayor amplitud de tolerancia a la magnitud del daño colateral. Eso quiere decir que se han cruzado las líneas de ataque del ciberespacio, con la del espacio físico real. Desapareciendo la conocida dificultad de confinamiento de actividades dentro de esos dominios”.

Es así como el profesor enfatiza que ” ese espeluznante precedente, dispara otros efectos sobre la sociedad civil y podemos suponer que, nuevas consecuencias también la tocarán. Y es que la seguridad física se verá trastocada más agudamente, dado que podemos suponer que ahora se examinará con mayor detalle el ingreso y operación de algunos dispositivos en ciertas áreas sensibles, como son partes de un aeropuerto, plantas industriales, locales gubernamentales, militares y de sanidad. La desconfianza y angustia aumentará en ciertas personas o comunidades, al notar la presencia de sujetos de reconocida actividad política o castrense, igual que se pudiera esperar mayor complejidad en procedimientos de adquisición y compra de artefactos delicados, como podría ser una Unidad Terminal Remota (RTU) o un Controlador Lógico Programable (PLC) que se integre a una instalación de un sistema tipo SCADA o a un Tomógrafo Computarizado que se coloque en un hospital militar”.

Nuevas garantías a los fabricantes

Otra de las consecuencias podría ser según refiere, que , el desarrollo, industrialización y comercialización de ciertos productos, pudiera ser más difícil y por eso, resultar más costoso económicamente y consumir mayor tiempo.

“No sería descabellado esperar que los productores progresivamente deban proveer nuevas garantías, al menos cuando resulten fuentes de insumos para instituciones militares y/o de seguridad. No bastará con las comprobaciones tradicionales, ya que la facilidad de que un fabricante apoye su manufactura con suministros de otras latitudes, debilita su control y abre espacios para regulaciones jurídicas o de seguridad que faculten el espionaje, el sabotaje o la subversión”, expuso.

Refiere que hay vetos a ciertos productos o instrumentos producidos en países que se juzgan como antagonistas.

Añade que hace días la Unión Europea promulgó el Acta de Ciber Resiliencia (CRA), que endurece las exigencias de seguridad en productos digitales y demanda una aproximación más rígida, para alcanzar la seguridad desde el diseño en los sistemas digitales. Se le otorgan 3 años a los fabricantes, importadores y distribuidores para ponerse en capacidad de cumplir con el acta. Con todo este panorama, podemos esperar que los análisis de riesgos deban ampliarse; al igual que aclarar si los dispositivos alterados en este incidente, constituyen una “trampa caza bobos” masiva, ya que ello está prohibido por la enmienda del Protocolo II de Naciones Unidas con fecha 1996, sobre ese tipo de problemas.

Una caja de Pandora

Ante tal escenario, sostiene que ” parece que otra caja de Pandora se ha abierto y ahora podemos esperar que los árboles de amenazas incluyan ramas donde no solamente se roba información, se eliminan bases de datos o se niega el servicio. Tendremos que incorporar renglones como “ataque masivo de explosiones distribuidas” y lo más difícil será desarrollar contramedidas efectivas para este infortunio tecnológico. Razón tenia el dramaturgo español, Jacinto Benavente cuando expresó: “Lo peor que hacen los malos es obligarnos a dudar de los buenos.”