Un experto en ciberseguridad explica cómo se preparó el ataque a los dispositivos de Hezbolá
Diario AS entrevista a Guillermo Perales Blasco, experto en Ciberseguridad, quien nos da las claves de la explosión de los dispositivos y cómo se tomó la decisión.
Tras los dos días de explosiones de dispositivos que han dejado 32 muertos en Líbano y más de 2.000 heridos, muchas son las incógnitas que se abren al cómo y cuándo de una acción sin precedentes.
Diario AS ha entrevistado a Guillermo Perales Blasco, Experto en Ciberseguridad y responsable de la seguridad de la información (CISO) de la empresa Shadow Lynx, quien nos la claves y el análisis técnico más exhaustivo para entender qué ha ocurrido.
Pregunta - ¿Cuándo explotaron los primeros dispositivos?
Respuesta - Alrededor de las 15:30 (14:30 hora europea), tiene lugar un atentado coordinado sin precedentes contra miles de dispositivos buscapersonas modelo Gold Apollo AR-924, pertenecientes a miembros de Hezbolá, que los hace explotar. Causando, al menos una docena de fallecidos y más de 2.800 heridos, cifras facilitadas por el ministro de salud Libanés, Firas Abiad.
P - ¿Qué son estos dispositivos y por qué se utilizaban?
R - Hezbolá había instado a sus miembros a dejar de utilizar dispositivos móviles para evitar las injerencias israelíes, y de este modo reducir la superficie de ataque de sus integrantes. Los combatientes de Hezbolá habían comenzado a utilizar buscas para tratar de evitar que Israel rastreara su ubicación, según reportan fuentes familiarizadas con las operaciones del grupo.
Estos equipos, compactos y sencillos de utilizar, únicamente reciben mensajes de texto muy cortos y vibran o emiten un sonido de alerta cuando llega la información. Generalmente funcionan con pilas AAA, pero según se indicaba en la página web oficial del fabricante, el modelo que ha explotado tenía una batería de litio recargable. La página web oficial, clausurada tras los ataques, también describe el modelo como un ‘aparato confiable en entornos hostiles’. Pensado para profesionales que se desempeñan en áreas industriales, de construcción o en situaciones de emergencia, este ‘pager’ o ‘beeper’ robusto está preparado para soportar condiciones extremas sin perder funcionalidad», se podía leer.
Esta versión sostiene que el plan original de Israel era detonar los buscapersonas sólo en caso de una guerra total con la milicia libanesa para obtener una ventaja estratégica.
P - ¿Quién está detrás de este atentado?
R - Presuntamente, el servicio secreto israelí, el Mossad. Una información de Al-Monitor asegura que la decisión de llevar a cabo el ataque se tomó en el alto mando de la Defensa hebrea después de que dos agentes de Hezbolá descubrieran que los dispositivos habían sido manipulados. Esta versión sostiene que el plan original de Israel era detonar los buscapersonas sólo en caso de una guerra total con la milicia libanesa para obtener una ventaja estratégica.
P - Como experto en ciberseguridad, ¿cómo ha podido pasar?
R - Es extremadamente improbable que un busca pueda explotar debido a un hackeo o malware, y esto se debe a varias limitaciones técnicas relacionadas tanto con el hardware como el software de estos dispositivos, así como con los sistemas de protección de las baterías.
Tienen un hardware básico y limitado. Los buscapersonas, como los de Motorola, fueron diseñados con un microcontrolador de baja potencia y sin un sistema operativo avanzado. Su única función es recibir y mostrar mensajes, lo que no permite que se ejecute código malicioso o que se modifique el firmware de manera remota. Sin capacidad de ejecución de código arbitrario, no hay forma de introducir un malware que manipule su comportamiento.
Además, estos dispositivos operan sobre redes de radiofrecuencia (RF) de baja capacidad, diseñadas para recibir pequeñas cantidades de datos. No tienen acceso a redes como Wi-Fi o 4G/5G, lo que imposibilita el envío de cargas de datos sofisticadas o la explotación de vulnerabilidades en redes modernas.
A diferencia de smartphones y laptops, los buscapersonas no tienen sistemas avanzados de gestión de energía. Las baterías utilizadas son generalmente alcalinas (AA o AAA) o, en algunos casos, recargables de níquel-cadmio (NiCd). Estas baterías no tienen circuitos de control que puedan ser manipulados por software para causar una sobrecarga.
P - ¿El problema estaba en las baterías?
R - Las baterías alcalinas no recargables no pueden sobrecargarse, y las baterías recargables, como las de NiCd, tienen protecciones internas como fusibles térmicos y válvulas de alivio que evitan sobrecalentamientos o acumulación peligrosa de presión. Estas protecciones hacen que sea imposible que un malware cause un fallo catastrófico en la batería.
Además, el firmware de los buscapersonas está almacenado en memoria de solo lectura, lo que significa que no puede modificarse sin acceso físico. Además, al no haber un sistema operativo completo, no hay manera de ejecutar código arbitrario que interactúe con el hardware o la batería.
Y aunque un malware lograra acceder al sistema (lo cual ya es extremadamente improbable), no podría aumentar el consumo de energía del dispositivo hasta un nivel en el que la batería se sobrecaliente o explote. Los buscapersonas son dispositivos de muy bajo consumo energético.
Básicamente , los buscapersonas son dispositivos extremadamente simples que no ofrecen las capacidades tecnológicas necesarias para que un hackeo provoque una explosión de la batería. Las protecciones físicas de las baterías y las limitaciones del hardware hacen que este tipo de escenarios sea prácticamente imposible.
Cualquier explosión de un buscapersonas sería más probable que fuera causada por una manipulación física de los dispositivos, lo cual se me antoja todavía más impresionante a efectos operativos.
Es muy probable que esta “puerta trasera” se haya activado de forma prematura durante la reunión del Estado Mayor Israelí, como previsión ante la posibilidad de que se hubiera descubierto la trampa. Considero prematura su detonación, pues este tipo de sabotajes se producen al comienzo, o durante un conflicto directo, como herramienta disruptiva entre las filas enemigas.
P - Se ha publicado que los dispositivos fueron adquiridos hace escasos 5 meses.
R - Es altamente probable que, conocedores de este hecho, el servicio secreto israelí hubiera interceptado los dispositivos en su cadena de suministro, y de este modo introducir unos 20 gramos de nitrato de pentaeritritol (PETN), un explosivo de alto poder que se suele utilizar en detonadores militares, la cual sería posteriormente activada por la deflagración producida por el sobrecalentamiento de las baterías; sobrecalentamiento provocado mediante instrucciones de radiofrecuencia, es decir, una activación remota.
En un momento dado, los buscapersonas empezaron a calentar sus baterías de iones de litio al recibir una señal, pero en lugar de quemarse, la batería explotó debido al PETN. Según hemos podido conocer, segundos antes de la explosión sincronizada, los equipos recibieron algún tipo de mensaje de activación, lo que provocaría que las víctimas sujetaran el explosivo frente a sus rostros, hecho contrastable con las heridas referidas por las víctimas.
Es muy probable que esta “puerta trasera” se haya activado de forma prematura durante la reunión del Estado Mayor Israelí, como previsión ante la posibilidad de que se hubiera descubierto la trampa. Considero prematura su detonación, pues este tipo de sabotajes se producen al comienzo, o durante un conflicto directo, como herramienta disruptiva entre las filas enemigas.
Sigue el canal de Diario AS en WhatsApp, donde encontrarás todo el deporte en un solo espacio: la actualidad del día, la agenda con la última hora de los eventos deportivos más importantes, las imágenes más destacadas, la opinión de las mejores firmas de AS, reportajes, vídeos, y algo de humor de vez en cuando.